Trojaner-Board - Häufige Systemabstürze nach diversen Malwarefunden

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Häufige Systemabstürze nach diversen Malwarefunden (https://www.trojaner-board.de/70499-haeufige-systemabstuerze-diversen-malwarefunden.html)

Häufige Systemabstürze nach diversen Malwarefunden

Hallo Trojanerboarder,

mein Rechner stürzt in den letzten Tagen immer häufiger und für mich völlig unberechenbar ab.

Hier erstmal die Infos aus "msinfo32":

Code:

Betriebssystemname    Microsoft Windows XP Professional

Version    5.1.2600 Service Pack 3 Build 2600

Betriebssystemhersteller    Microsoft Corporation

Systemname    ***

Systemhersteller    FUJITSU SIEMENS

Systemmodell    P5GD1-FM

Systemtyp    X86-basierter PC

Prozessor    x86 Family 15 Model 4 Stepping 1 GenuineIntel ~3591 Mhz

BIOS-Version/-Datum    American Megatrends Inc. 1004.001, 10.01.2005

SMBIOS-Version    2.3

Windows-Verzeichnis    C:\WINDOWS

Systemverzeichnis    C:\WINDOWS\system32

Startgerät    \Device\HarddiskVolume1

Gebietsschema    Deutschland

Hardwareabstraktionsebene    Version = "5.1.2600.5512 (xpsp.080413-2111)"

Benutzername    ***

Zeitzone    Westeuropäische Normalzeit

Gesamter realer Speicher    1.024,00 MB

Verfügbarer realer Speicher    381,10 MB

Gesamter virtueller Speicher    2,00 GB

Verfügbarer virtueller Speicher    1,96 GB

Größe der Auslagerungsdatei    2,91 GB

Auslagerungsdatei    D:\pagefile.sys

CCleaner hab ich durchgeführt.

Code:

Hier die relevanten Reports von Malwarebytes-Anti-Malware:
 

Malwarebytes' Anti-Malware 1.33

Datenbank Version: 1689

Windows 5.1.2600 Service Pack 3
 

24.01.2009 23:12:35

mbam-log-2009-01-24 (23-12-35).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 468093

Laufzeit: 2 hour(s), 32 minute(s), 41 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 1

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/uninst.bat (Trojan.Agent) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

C:\Programme\Antispy (Rogue.AntiSpy) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

C:\Programme\Antispy\MicrosoftAntiSpywareInstall.exe (Rogue.AntiSpy) -> Quarantined and deleted successfully.

C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\explorer.ini (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
 

______________________________
 

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1792

Windows 5.1.2600 Service Pack 3
 

22.02.2009 13:28:39

mbam-log-2009-02-22 (13-28-39).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 492520

Laufzeit: 2 hour(s), 16 minute(s), 38 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 1

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 1
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.
 

______________________________
 
 

der heutige Report:
 

Malwarebytes' Anti-Malware 1.34

Datenbank Version: 1809

Windows 5.1.2600 Service Pack 3
 

27.02.2009 19:08:08

mbam-log-2009-02-27 (19-08-08).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|I:\|J:\|K:\|)

Durchsuchte Objekte: 471436

Laufzeit: 1 hour(s), 58 minute(s), 39 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

HJT Logfiles:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 01:48:10, on 28.02.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

C:\WINDOWS\system32\PRISMSTA.EXE

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\SSC Service Utility\ssc_serv.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

C:\Programme\FreePDF_XP\fpassist.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Spamihilator\spamihilator.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Mozilla Thunderbird\thunderbird.exe

C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe

C:\Programme\TimeLeft3\TimeLeft.exe

C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe

C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\ansyslmd.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Programme\ewido\security suite\ewidoctrl.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\Flexlm\lmgrd.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Flexlm\SW_D.EXE

C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe

C:\Programme\EDS\License Servers\UGNXFLEXlm\uglmd.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://spiegel.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [SSC Service Utility] C:\Programme\SSC Service Utility\ssc_serv.exe /s

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"

O4 - Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe

O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe

O4 - Startup: TimeLeft.lnk = C:\Programme\TimeLeft3\TimeLeft.exe

O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll

O11 - Options group: [INTERNATIONAL] International*

O15 - Trusted Zone: h**p://player.eurosport.de

O15 - Trusted Zone: h**p://support.fujitsu-siemens.de

O15 - Trusted Zone: h**p://www.kaspersky.com

O15 - Trusted Zone: h**p://*.windowsupdate.microsoft.com

O15 - Trusted Zone: h**p://www.pandasecurity.com

O15 - Trusted Zone: h**p://as.photoprintit.de

O15 - Trusted Zone: h**p://fotoservice.schlecker.de

O15 - Trusted Zone: h**p://housecall65.trendmicro.com

O15 - Trusted Zone: h**p://download.windowsupdate.com

O15 - Trusted Zone: h**p://*.windowsupdate.com

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138476530359

O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - h**p://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab

O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - h**p://www.commandondemand.com/eval/cod/cabs/cssweb.cab

O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4484/mcfscan.cab

O20 - Winlogon Notify: LBTWlgn - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: ANSYS FLEXlm license manager - Macrovision Corporation - C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: ITI Quantity Service - ITI GmbH - C:\Programme\ITI-Software\SimulationX 2.0\QuantityService.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: SolidWorks SolidNetWork License Manager - Macrovision Corporation - C:\Programme\Flexlm\lmgrd.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: Unigraphics License Server (uglmd) - Macrovision Corporation - C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe

Teil 2 folgt, der Text war zu lange...

Online Scans waren nicht durchführbar. Entweder wurde der IE einfach geschlossen nach wenigen Minuten (bei Panda) oder der Rechner stürzte nach spätestens 30 Minuten wieder ab.

________________________

Beim Neustart erscheint seit einigen Tagen ein Meldung von Spybot:

Kategorie: Session Manager
Änderung: Wert geändert
Eintrag: Boot Execute
Alte Daten: autocheck autochk*\SsiEfre.e
Neue Daten: autocheck autochk*\SsiEfre.e\lsdelete\

Da mir das nichts sagt, hab ich das bisher immer verweigert.

Antivir hat heute nichts gefunden.

allerdings in früheren Scans.
hier die Funde:

Code:



Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Sonntag, 8. Februar 2009  01:19
 

Es wird nach 1322990 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 3)  [5.1.2600]

Boot Modus:       Normal gebootet

Benutzername:     Christina

Computername:     BLAUBAER
 

Versionsinformationen:

BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00

AVSCAN.EXE    : 8.1.4.10      315649 Bytes  26.11.2008 07:41:04

AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.07.2008 04:19:25

LUKE.DLL      : 8.1.4.5       164097 Bytes  18.07.2008 04:19:26

LUKERES.DLL   : 8.1.4.0        12545 Bytes  18.07.2008 04:19:26

ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 00:56:57

ANTIVIR1.VDF  : 7.1.1.113    2817536 Bytes  14.01.2009 13:12:13

ANTIVIR2.VDF  : 7.1.1.207    1359360 Bytes  30.01.2009 13:16:09

ANTIVIR3.VDF  : 7.1.1.239     314880 Bytes  06.02.2009 13:12:34

Engineversion : 8.2.0.76 

AEVDF.DLL     : 8.1.1.0       106868 Bytes  31.01.2009 13:16:27

AESCRIPT.DLL  : 8.1.1.43      344442 Bytes  07.02.2009 13:12:36

AESCN.DLL     : 8.1.1.6       127348 Bytes  31.01.2009 13:16:23

AERDL.DLL     : 8.1.1.3       438645 Bytes  07.11.2008 07:36:40

AEPACK.DLL    : 8.1.3.8       397684 Bytes  05.02.2009 13:12:35

AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  12.12.2008 07:40:22

AEHEUR.DLL    : 8.1.0.90     1573237 Bytes  05.02.2009 13:12:34

AEHELP.DLL    : 8.1.2.0       119159 Bytes  19.11.2008 07:38:08

AEGEN.DLL     : 8.1.1.14      332148 Bytes  07.02.2009 13:12:35

AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 13:58:39

AECORE.DLL    : 8.1.6.4       176501 Bytes  02.02.2009 23:20:42

AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 13:58:38

AVWINLL.DLL   : 1.0.0.12       15105 Bytes  18.07.2008 04:19:25

AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.07.2008 04:19:25

AVREP.DLL     : 8.0.0.2        98344 Bytes  01.08.2008 06:37:27

AVREG.DLL     : 8.0.0.1        33537 Bytes  18.07.2008 04:19:25

AVARKT.DLL    : 1.0.0.23      307457 Bytes  14.04.2008 22:14:33

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.07.2008 04:19:25

SQLITE3.DLL   : 3.3.17.1      339968 Bytes  14.04.2008 22:14:36

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  18.07.2008 04:19:26

NETNT.DLL     : 8.0.0.1         7937 Bytes  14.04.2008 22:14:36

RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  18.07.2008 04:19:22

RCTEXT.DLL    : 8.0.52.0       86273 Bytes  18.07.2008 04:19:22
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Manuelle Auswahl

Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Protokollierung..................: niedrig

Primäre Aktion...................: quarantäne

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, D:,

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: aus

Datei Suchmodus..................: Dateierweiterungsliste verwenden

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: 20

Archiv Smart Extensions..........: ein

Makrovirenheuristik..............: ein

Dateiheuristik...................: aus
 

Beginn des Suchlaufs: Sonntag, 8. Februar 2009  01:19
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'uglmd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lmgrd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SW_D.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lmgrd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'TimeLeft.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SPUVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spamihilator.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ewidoctrl.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ansyslmd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lmgrd.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ssc_serv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'PRISMSTA.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AOLDial.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '52' Prozesse mit '52' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD2

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Masterbootsektor HD3

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Masterbootsektor HD4

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Masterbootsektor HD5

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Masterbootsektor HD6

    [INFO]      Es wurde kein Virus gefunden!

    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'D:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '72' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\' <Festplatte C>

C:\hiberfil.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Suche in 'D:\' <Festplatte D>

D:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

D:\Downloads\MatLab\MATLab2006b\MATHWORKS Matlab 2006b CD1\ACME\matlab_kg.exe

    [FUND]      Ist das Trojanische Pferd TR/Horse.BYC

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a02347a.qua' verschoben!
 
 

Ende des Suchlaufs: Sonntag, 8. Februar 2009  02:32

Benötigte Zeit:  1:13:00 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  29485 Verzeichnisse wurden überprüft

 668625 Dateien wurden geprüft

      1 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      1 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      2 Dateien konnten nicht durchsucht werden

 668622 Dateien ohne Befall

   3602 Archive wurden durchsucht

      7 Warnungen

      1 Hinweise
 

_________________
 

Meldungen des Guard:
 

23.2.2009

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\31ap6sxt.default\Cache\4FCC3BF3d01'

wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.

Ausgeführte Aktion: Datei löschen
 
 

vom 22.2.2009

ie Datei 'C:\System Volume Information\_restore{9105577E-8465-42FE-BBF0-8F7EA6116322}\RP1242\A0365144.exe'

enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].

Durchgeführte Aktion(en):

Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3a276.qua' verschoben!

Ich hoffe ich habe alles richtig erledigt. Schon beim Sammeln dieser Daten ist der Rechner sicher 5 mal abgestürzt.
Falls ich was überlesen oder falsch gemacht habe bitte ich um Entschuldigung. Ich komme kaum zum Nachlesen auf Eurem Board, weil der PC dauernd neu hochfährt.

Danke im Voraus!!!

Christina

Hi,

stelle bitte mal folgende Einträge aus der Quarantäne von Malwarebytes wieder her:

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.

Es gab vor ein paar Tagen einen Fehlalarm und es könnte sich um eine legitime Windowsdatei handeln.

Zitat:

D:\Downloads\MatLab\MATLab2006b\MATHWORKS Matlab 2006b CD1\ACME\matlab_kg.exe

Finger weg von Keygens! :mad: Erstens ist es unmoralisch, zweitens gefährlich. :mad:
Für die allermeisten Dinge reichen dann auch Alternativen, mit denen man kostenlose rechnen kann.
Wer meint sein Leben hänge vom Besitz dieser Software ab, sollte sie sich kaufen.

Zitat:

Beim Neustart erscheint seit einigen Tagen ein Meldung von Spybot:

Kategorie: Session Manager
Änderung: Wert geändert
Eintrag: Boot Execute
Alte Daten: autocheck autochk*\SsiEfre.e
Neue Daten: autocheck autochk*\SsiEfre.e\lsdelete\

Da mir das nichts sagt, hab ich das bisher immer verweigert.

Spybot blockiert die Installation von Ad-Aware. Der TeaTimer ist sinnlos, die Hälfte der Zeit weiß der Betroffene nicht was er tun soll, die andere Hälfte übersieht TeaTimer die Änderungen.

Am besten Ad-Aware und Spybot deinstallieren und gelegentlich mit Malwarebytes oder SASW scannen.

lg myrtille

Hi myrtille,

danke für die schnelle Antwort zu später Stunde!

Zitat:

Zitat von myrtille (Beitrag 417078)

stelle bitte mal folgende Einträge aus der Quarantäne von Malwarebytes wieder her:

Es gab vor ein paar Tagen einen Fehlalarm und es könnte sich um eine legitime Windowsdatei handeln.

Wenn ich auf die Quarantäne von Malwarebytes klicke ist da nichts zu sehen.
Hab ich das in meinem Reinigungswahn fälschlicherweise löschen können?
Bzw. kann es sein, dass da was Wichtiges falsch erkannt und gelöscht wurde?

Zitat:

Zitat von myrtille (Beitrag 417078)

Dein Wort in meines Gatten Ohr!!! :mad:
Wir hatten ein ähhh... Gespräch darüber und ich bin mir ziemlich sicher, dass sowas nicht mehr auf unserem Rechner landet. :D
Immerhin darf ich mir jetzt die Tage und Nächte um die Ohren schlagen mit der Beseitigung von diesem Mist!

Zitat:

Zitat von myrtille (Beitrag 417078)

:mad:Spybot blockiert die Installation von Ad-Aware. Der TeaTimer ist sinnlos, die Hälfte der Zeit weiß der Betroffene nicht was er tun soll, die andere Hälfte übersieht TeaTimer die Änderungen.

Ich hatte den Teatimer eigentlich abgestellt, aber das hat wohl nicht nachhaltig funktioniert.

Zitat:

Zitat von myrtille (Beitrag 417078)

Am besten Ad-Aware und Spybot deinstallieren und gelegentlich mit Malwarebytes oder SASW scannen.

Ok, wenn Du das empfiehlst, schmeiß ich sie wieder runter.
Und mach mich erstmal schlau, was SASW ist... :D

Hi,

hast du die Quarantäne selbst geleert? Wenn ja wär das ärgerlich.

Hast du die Windows-CD greifbar? Wenn ja, diese bitte einlegen, dann unter start ->ausführen -> sfc /scannow eingeben. (auf das leerzeichen achten).
Dann sollten alle Windowsdatein geprüft und fehlende ersetzt werden.

lg myrtille
EDIT: und gute nacht. :)

CD verträgt er überhaupt nicht gerade, da schmiert er sofort ab.

Naja, vielleicht gehts ja morgen weiter...

danke nochmal und gute Nacht!

Nachtrag:
Vor ca. 1 Woche hat HJT immer Einträge dieser Art produziert mit verschiedenen DeletingD**** Nummern. Alle fanden sich unter 04-Einträgen.

O4 - HKCU\..\RunOnce: [SpybotDeletingD8459] cmd /c del "C:\WINDOWS\SchedLgU.Txt"

Ich hab das gefixt. Hoffentlich kein Fehler?!
Aber vielleicht sagt Euch das noch mehr, wer da wütet im System.

Da wütet ganz offensichtlich SpyBot. :blabla:
Das wäre dann SpyBot wie er versucht Windowsdateien zu löschen:
Die SchedLgu.txt gehört zum Taskplaner: Link
(und ist nicht lebenswichtig, daher wird die wohl von SpyBot S&D gern gelöscht.)

Habt ihr auf dem Rechner bereits MS-Updates installiert? Gibt es einen Ordner c:\Windows\ServicePackFiles \i386 oder C:\i386 bei deinem Rechner?
Wenn ja besteht die Chance, dass sich dort ein Backup der MDM.exe befindet. Gib dann unter Start->ausführen->cmd ein.
Es öffnet sich die Kommandozeile. Gib dort
expand C:\i386\mdm.ex_ C:\windows\system32\mdm.exe
bzw
expand C:\Windows\ServicePackFiles\i386\mdm.ex_ C:\windows\system32\mdm.exe je nachdem welchen Ordner du hast.
Theoretisch würde das auch von deiner Windows-CD aus gehen:
expand [Laufwerksbuchsabe de CD]:\i386\mdm.ex_ C:\windows\system32\mdm.exe

lg myrtille.

Die Malware-Sachen überlasse ich mal myrtille, aber suche unter c:\minidump nach einer Datei mini*.dmp. Wenn du was findest, hänge sie bitte hier mit ran oder lade sie bei http://www.file-upload.net hoch.

Zitat:

Zitat von myrtille (Beitrag 417123)

Da wütet ganz offensichtlich SpyBot. :blabla:

:D:D:D

Ich hab Spybot inzwischen rausgeschmissen.

Zitat:

Zitat von myrtille (Beitrag 417123)

Habt ihr auf dem Rechner bereits MS-Updates installiert? Gibt es einen Ordner c:\Windows\ServicePackFiles \i386 oder C:\i386 bei deinem Rechner?
Wenn ja besteht die Chance, dass sich dort ein Backup der MDM.exe befindet. Gib dann unter Start->ausführen->cmd ein.
Es öffnet sich die Kommandozeile. Gib dort
expand C:\i386\mdm.ex_ C:\windows\system32\mdm.exe
bzw
expand C:\Windows\ServicePackFiles\i386\mdm.ex_ C:\windows\system32\mdm.exe je nachdem welchen Ordner du hast.

Ja, es gibt diesen Ordner i386 unter ServicePackFiles.
Das Fenster, das sich nach "cmd" öffnet sieht aus wie ein Dos-Fenster. Da steht dann schon drin:

C:\Dokumente und Einstellungen\***>

Soll ich dahinter diese Zeile eintragen, oder was soll da genau stehen?

@DaleCooper:

Danke auch Dir für Deine Antwort

Ich finde leider (oder Gott sei Dank?) nirgends C:\minidump

Nachtrag:

Ich hab das von Dir empfohlene SAS runtergeladen und laufenlassen und Folgendes hat er gefunden:

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 02/28/2009 at 01:03 PM
 

Application Version : 4.25.1014
 

Core Rules Database Version : 3779

Trace Rules Database Version: 1738
 

Scan type       : Complete Scan

Total Scan Time : 01:20:21
 

Memory items scanned      : 499

Memory threats detected   : 0

Registry items scanned    : 8051

Registry threats detected : 0

File items scanned        : 51261

File threats detected     : 1
 

Unclassified.Monitor/ActualSpy

    C:\PROGRAMME\MOTORRAD TOURENPLANER 2005 2006\PROG\SUPPORT\MGGCHECK\MGGSTR32.DLL
 

_____________________
 

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 02/28/2009 at 05:56 AM
 

Application Version : 4.25.1014
 

Core Rules Database Version : 3779

Trace Rules Database Version: 1738
 

Scan type       : Quick Scan

Total Scan Time : 00:28:25
 

Memory items scanned      : 478

Memory threats detected   : 0

Registry items scanned    : 550

Registry threats detected : 0

File items scanned        : 22993

File threats detected     : 1
 

Trojan.Downloader-Gen/Suspicious

    C:\RECOVER\SYSPREP\SFTRUN.EXE

lG,
Christina

Hi,

lass die beiden Dateien:

Zitat:

C:\RECOVER\SYSPREP\SFTRUN.EXE
C:\PROGRAMME\MOTORRAD TOURENPLANER 2005 2006\PROG\SUPPORT\MGGCHECK\MGGSTR32.DLL

bitte bei virustotal auswerten und poste das Ergebnis hier.

Das in dem Dosfenster etwas erscheint ist normal, einfach dahinter schreiben.

lg myrtille

Hallo myrtille,

leider bin ich nicht sehr erfolgreich in der Umsetzung Deiner Anweisungen.
Nach Eingabe des Befehls erscheint folgende Meldung:

Fehler beim Öffnen der Eingabedatei: expand C:\Windows\ServicePackFiles\i386\mdm.ex_ C:\windows\system32\mdm.exe

Die Dateien, die ich scannen lassen soll, existieren angeblich nicht. Zu der SFTRUN.EXE existiert nur eine Textdatei und beim Tourenplaner gibt es nur dlls mit folgendem Namen:
....\borlandmm.dll
....\OLEDBPRV.DLL

Zudem stürzt der Rechner gerade in einer Frequenz ab, dass ich kaum zum Posten hier komme.

Hoffentlich krieg ich das noch eingestellt gleich, ich schreib das alles erstmal im Thunderbird und speichere dauernd, damit ich überhaupt eine Chance hab.
Vielleicht hab ich ja auch ein Hardware-Problem???

Danke für Deine Hilfe!

lg,
Christina

Hi,

und von der Windows-CD aus kann das nicht klappen?
Habt ihr einen anderen XP-Rechner von dem ihr die MDM.exe rüberkopieren könntet? Vielleicht würde das auch gehen.

Hardware kann natürlich auch sein. Friert der Rechner ein oder stürzt er mit einem BSOD ab? Wenn BSOD, dann poste mal bitte einige der Fehlercodes, damit man sich ein Bild machen kann.

Hast du die von SASW gefundenen Dateien löschen lassen? (Dann wäre es normal, dass du ise nicht mehr findest. ;) )

lg myrtille

Hi myrtille

Zitat:

Zitat von myrtille (Beitrag 417184)

Hi,

und von der Windows-CD aus kann das nicht klappen?

Ich hab die CD mittlerweile gefunden, es wird auch gemeldet, dass urprüngliche Dateien durch unbekannte ersetzt wurden und dass ich die CD mit dem SP 3 einlegen soll.
Das hab ich jetzt also nochmal runtergeladen, da ich nicht weiß, ob ich eine solche CD habe und hab das gebrannt.
Damit kann Windows aber offensichtlich nicht anfangen. Es wird gemeldet, es sei die falsche CD. :koch:

Zitat:

Zitat von myrtille (Beitrag 417184)

Habt ihr einen anderen XP-Rechner von dem ihr die MDM.exe rüberkopieren könntet? Vielleicht würde das auch gehen.

Es gibt noch ein Laptop, da komm ich erst morgen wieder dran.
Das könnte ich versuchen und werde das auch tun, wenn ich (s.o.) nicht weiterkomme.

Zitat:

Zitat von myrtille (Beitrag 417184)

Hardware kann natürlich auch sein. Friert der Rechner ein oder stürzt er mit einem BSOD ab? Wenn BSOD, dann poste mal bitte einige der Fehlercodes, damit man sich ein Bild machen kann.

Gestern nacht ist er mal mit Bluescreen abgestürzt. Heute fährt er sich einfach immer wieder hoch.
Eingefroren ist er vor ca. einer Woche dauernd.
Er kann also alles! :) Wenn er nochmal mit Bluescreen abstürzt, poste ich die Fehlercodes.

Zitat:

Zitat von myrtille (Beitrag 417184)

Hast du die von SASW gefundenen Dateien löschen lassen? (Dann wäre es normal, dass du ise nicht mehr findest. ;) )

*hüstel*... das halte ich nicht für ausgeschlossen. Ich habe einfach auf weitergeklickt mit dem, was mir das Programm empfohlen hat.

lg,
Christina