Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Symbole verändert, .exe in windows/temp, system32 leer

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.08.2006, 14:37   #1
mnaegelchen
 
Symbole verändert, .exe in windows/temp, system32 leer - Standard

Symbole verändert, .exe in windows/temp, system32 leer



Hi,

ich war auf der Suche nach nem Interpreten und kam dummer Weise auf die Seite w*w.emp3s.com, und da flogen mir die "was auch immer" nur so um die Ohren.
Dumm nur, dass ich nicht mit meinem Rechner unterwegs war. Weil auf dem Anderen ne veraltete Version von OfficeScan drauf ist und die Windows Firewall aus war, wurden mir die Infektionen zwar angezeigt, aber weder geblockt noch beseitigt.
Dann gingen ständig Popups auf, auch wenn kein Explorer auf war. Ausserdem diverse System-Meldungen und seit dem sind die Symbolunterschriften blau hinterlegt und auch mit "durchsichtigen Hintergrund für Symbolunterschriften auf dem Desktop" nicht mehr transparent zu bekommen.
Hab dann etwas rum probiert. Ad-Aware SE installiert. AntiVir und Outpost. Ad-Aware und AntiVir haben ständig was gefunden und es nam kein Ende. Hab dann gemerkt, das C:\WINDOWS\system32 leer ist. Hab in msconfig/autostart den Eintrag rundll32.exe instinktiv deaktiviert und da war die C:\WINDOWS\system32 nach m neustart wieder voll. Hab dann noch Spybot und Cwshredder drüber laufen lassen und Outpost hat auch noch was gefunden.
Seit dem ist eigentlich Ruhe. Keine Popups gehen mehr auf. Alle Scanner finden nichts mehr.
Nur die Symbolunterschriften lassen sich nicht mehr transparent stellen und im C:\WINDOWS\temp Ordner ist ne .exe, die bei jedem Neustart anders heisst, im Task-Manager/Prozesse auftaucht und sich nicht löschen lässt. Ausserdem ist das rundll32.exe Problem noch da. Lass ich Autostart zu ist C:\WINDOWS\system32 leer.
Keine Ahnung, ob der Rechner noch infiziert ist oder nicht. Auf alle Fälle wird der Rechner bald neu aufgesetzt.
Wollte die Erfahrung mal Posten und fragen ob Jemand Anmerkungen oder Tipps hat, was da los ist/war.

THX

Alt 04.08.2006, 23:21   #2
dartus
 
Symbole verändert, .exe in windows/temp, system32 leer - Standard

Symbole verändert, .exe in windows/temp, system32 leer



Hallo,

poste bitte ein Hijackthis-Logfile.
Editiere bitte sämtliche Links und ev. persönliche Daten.

dartus
__________________

__________________

Alt 07.08.2006, 17:56   #3
mnaegelchen
 
Symbole verändert, .exe in windows/temp, system32 leer - Standard

Symbole verändert, .exe in windows/temp, system32 leer



Hallo Dartus,

danke für die Unterstützung. Da der Rechner gerade neu aufgesetzt wird, ist mein Anliegen ja nicht gerade dringend und prüfen, was sich verändert, geht jetzt auch nicht mehr. Ich habe div. Logs, die ich noch posten möchte. Vielleicht kannst Du mir ja was interessantes dazu erzählen.

Zuerst die Reaktion von OfficeScan beim aufrufen der Seite.

30.07.2006 15:34 C:\Dokumente und Einstellungen\***\LokaleEinstellungen\Temporary Internet Files\Content.lE5\8RATCVEX\MTE3NDI6ODoxNg[1].exe TROJ_DLOADER.ATW

30.07.2006 15:34 C:\MTE3NDI6ODoxNgnew.exe TROJ_DLOADER.ATW

30.07.2006 15:34 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet
Files\Content.lE5\YJAJMXU3\MTE3NDI6ODoxNg[1].exe TROJ_DLOADER.ATW

30.07.2006 15:34 C:\MTE3NDI6ODoxNg.exe TROJ_DLOADER.ATW

30.07.2006 15:34 C:\DOKUME~1\HEGERN~1.DEW\LOKALE~1VTemp\f82375509.exe TROJ_QOOLOGIC.AI

30.07.2006 15:34 C:\WINDOWS\system32\dmonwv.dll TROJ_QOOLOGIC.AK

30.07.2006 15:34 C:\WINDOWS\system32\dmonwv.dll TROJ_QOOLOGIC.AK

30.07.2006 15:34 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary lnternet
Files\Content.lE5\OD2RS5IV\stub_113_4_0_4_0I1l.exe TROJ_TSUPDATE.G

30.07.2006 15:34 C:\stub_113_4_0_4_0newer.exe TROJ_TSUPDATE.G

30.07.2006 15:35 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary lntemet
Files\Content.IE5\096JCXQN\MTE3NDI6ODoxNg[1].exe TROJ_DLOADER.ATW

30.07.2006 15:35 C:\MTE3NDI6ODoxNgnew.exe TROJ_DLOADER.ATW

30.07.2006 15:35 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary lnternet
Files\Content.lE5\OD2RS5IV\MTE3NDI6ODoxNg[1].exe TROJ_DLOADER.ATW

30.07.2006 15:35 C:\MTE3NDI6=DoxNgnew.exe TROJ_DLOADER.ATW

30.07.2006 15:35 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet
Files\Content.lE5\096JCXQN\MTE3NDI6ODoxNg[1].exe TROJ_DLOADER.ATW

30.07.2006 15:35 C:\MTE3NDI6ODoxNgnew.exe TROJ_DLOADER.ATW

30.07.2006 15:35 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet
Files\Content.lE5\K9YRGTAR\MTE3NDI6ODoxNg[1].exe TROJ_DLOADER.ATW

30.07.2006 15:35 C:\MTE3NDI6ODoxNg.exe TROJ_DLOADER.ATW

30.07.2006 15:35 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporay lnternet
Files\Content.lE5\81CLUF05\MTE3NDI6ODoxNg[1].exe TROJ_DLOADER.ATW

30.07.2006 15:35 C:\MTE3NDI6ODoxNg.exe TROJ_DLOADER.ATW

30.07.2006 15:35 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary lnternet
Files\Content.lE5\8RATCVEX\stub_113_4_0_4_0[1].exe TROJ_TSUPDATE.G

30.07.2006 15:35 C:\stub_113_4_0_4_0newer.exe TROJ_TSUPDATE.G

30.07.2006 15:35 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet
Files\Content.lE5\K9YRGTAR\stub_1l3_4_0_4_0[1].exe TROJ_TSUPDATE.G

30.07.2006 15:35 C:\stub_113_4_0_4_0newer.exe TROJ_TSUPDATE.G

30.07.2006 15:35 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporay lnternet
Files\Content.lE5\8RATCVEX\stub_113_4_0_4_0[1].exe TROJ_TSUPDATE.G

30.07.2006 15:35 C:\stub_113_4_0_4_0newer.exe TROJ_TSUPDATE.G

30.07.2006 15:38 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary lnternet
Files\Content.lE5\8RATCVEX\MTE3NDI6ODoxNg[1].exe TROJ_DLOADER.ATW

30.07.2006 15:38 C:\MTE3NDI6ODoxNg.exe TROJ_DLOADER.ATW

30.07.2006 15:39 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet
Files\Content.lE5\SXY3092F\mtrslib2[1].js JS_DOWNLOAD.D

30.07.2006 15:39 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet
Files\Content.lE5\YJAJMXU3\MTE3NDI6ODoxNg[1].exe TROJ_DLOADER.ATW

30.07.2006 15:39 C:\MTE3NDI6ODoxNg.exe TROJ_DLOADER.ATW
__________________

Alt 07.08.2006, 18:06   #4
mnaegelchen
 
Symbole verändert, .exe in windows/temp, system32 leer - Standard

Symbole verändert, .exe in windows/temp, system32 leer



dann ein Scan von AntiVir



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 1. August 2006 18:28

Es wird nach 467504 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: +++
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: +++
Computername: +++

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 31.07.2006 21:52:29
AVSCAN.DLL : 7.0.0.42 57384 31.07.2006 21:52:29
LUKE.DLL : 7.0.0.42 118824 31.07.2006 21:52:29
LUKERES.DLL : 7.0.0.42 32808 31.07.2006 21:52:29
ANTIVIR0.VDF : 6.35.0.1 7371264 31.07.2006 21:52:28
ANTIVIR1.VDF : 6.35.0.168 730112 31.07.2006 21:52:28
ANTIVIR2.VDF : 6.35.1.15 295936 31.07.2006 21:52:28
ANTIVIR3.VDF : 6.35.1.28 27648 31.07.2006 21:52:28
AVEWIN32.DLL : 7.1.1.0 1556992 31.07.2006 21:52:28
AVPREF.DLL : 7.0.0.1 53288 31.07.2006 21:52:28
AVREP.DLL : 6.35.1.25 737320 31.07.2006 21:52:28
AVRPBASE.DLL : 7.0.0.0 2162728 31.07.2006 21:52:29
AVPACK32.DLL : 7.1.0.1 335912 31.07.2006 21:52:28
AVREG.DLL : 6.31.0.90 27688 31.07.2006 21:52:28
NETNT.DLL : 6.32.0.0 6696 31.07.2006 21:52:29
NETNW.DLL : 6.32.0.0 9768 31.07.2006 21:52:29
RCIMAGE.DLL : 7.0.0.71 1642536 31.07.2006 21:52:29
RCTEXT.DLL : 7.0.0.75 77864 31.07.2006 21:52:29

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,D,E
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Auszulassende Archivtypen.....: 1000,1001,1002,1003,1004,
Makrovirenheuristik...........: 1
Dateiheuristik................: 3
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Dienstag, 1. August 2006 18:28


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 55 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 34 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Outlook\outcmd.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\096JCXQN\popup[1].php
[0] Archivtyp: GZ
--> popup[1]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\096JCXQN\popup[2].php
[0] Archivtyp: GZ
--> popup[2]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81CLUF05\popup[1].php
[0] Archivtyp: GZ
--> popup[1]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81CLUF05\popup[2].php
[0] Archivtyp: GZ
--> popup[2]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8RATCVEX\popup[1].php
[0] Archivtyp: GZ
--> popup[1]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8RATCVEX\popup[2].php
[0] Archivtyp: GZ
--> popup[2]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8RATCVEX\popup[3].php
[0] Archivtyp: GZ
--> popup[3]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G1QRGHUV\popup[1].php
[0] Archivtyp: GZ
--> popup[1]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G1QRGHUV\popup[2].php
[0] Archivtyp: GZ
--> popup[2]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K9YRGTAR\popup[1].php
[0] Archivtyp: GZ
--> popup[1]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OD2RS5IV\popup[1].php
[0] Archivtyp: GZ
--> popup[1]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OD2RS5IV\popup[2].php
[0] Archivtyp: GZ
--> popup[2]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OD2RS5IV\popup[3].php
[0] Archivtyp: GZ
--> popup[3]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YJAJMXU3\!update-4095[1].0000
[FUND] Ist das Trojanische Pferd TR/Dldr.PurityScan.CO.7
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YJAJMXU3\popup[1].php
[0] Archivtyp: GZ
--> popup[1]
[FUND] Enthält Signatur des Exploits EXP/Agent.B
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SYSTEM32\CatRoot2\edb.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SYSTEM32\CatRoot2\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SYSTEM32\CONFIG\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\JET6DEC.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Dienstag, 1. August 2006 19:05
Benötigte Zeit: 36:18 min

Der Suchlauf wurde vollständig durchgeführt.

5104 Verzeichnisse wurden überprüft
253553 Dateien wurden geprüft
15 Viren bzw. unerwünschte Programme wurden gefunden
15 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3293 Archive wurden durchsucht
27 Warnungen
2 Hinweise

Alt 07.08.2006, 18:07   #5
mnaegelchen
 
Symbole verändert, .exe in windows/temp, system32 leer - Standard

Symbole verändert, .exe in windows/temp, system32 leer



noch eine Logliste von Outpost:

01.08.2006 23:38:00 Isolieren Malware Downloader
01.08.2006 23:38:00 Isolieren Adware Dollar Revenue
01.08.2006 23:38:00 Isolieren Adware CmdServs
01.08.2006 23:38:00 Isolieren Adware Look2Me
01.08.2006 23:38:00 Isolieren Malware SystemDoctor
01.08.2006 23:38:00 Isolieren Adware Media-Motor
01.08.2006 23:38:00 Isolieren Trojan AdClicker
01.08.2006 23:32:51 Objekte gefunden Malware Downloader
01.08.2006 23:32:51 Objekte gefunden Malware SystemDoctor
01.08.2006 23:32:51 Objekte gefunden Adware Look2Me
01.08.2006 23:32:51 Objekte gefunden Adware Media-Motor
01.08.2006 23:32:51 Objekte gefunden Adware CmdServs
01.08.2006 23:32:51 Objekte gefunden Adware Dollar Revenue
01.08.2006 23:32:51 Objekte gefunden Adware Dollar Revenue
01.08.2006 23:32:51 Objekte gefunden Adware Dollar Revenue
01.08.2006 23:32:51 Objekte gefunden Trojan AdClicker
01.08.2006 23:32:51 Objekte gefunden Adware Dollar Revenue
01.08.2006 23:32:51 Objekte gefunden Adware Media-Motor


Alt 07.08.2006, 18:17   #6
mnaegelchen
 
Symbole verändert, .exe in windows/temp, system32 leer - Standard

Symbole verändert, .exe in windows/temp, system32 leer



und hier jetzt endlich der HJS Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:24:38, on 03.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\basfipm.exe
C:\WINDOWS\system32\bmwebcfg.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\Programme\lotus\notes\ntmulti.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\WD2CE2.EXE
C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\ipwins\ipwins.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***/de/channel/500/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/de/deu/gen/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = ***
R3 - URLSearchHook: (no name) - {B331E13E-2FDB-2328-DFFB-5717C0F35FE7} - C:\WINDOWS\system32\hey.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [bascstray] BascsTray.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\PROGRA~1\Agnitum\OUTPOS~1.0\feedback.exe /dumps_startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Rmcs] "C:\WINDOWS\YSTEM3~1\mmc.exe" -vt yazr
O4 - Startup: Vodafone Mobile Connect Card.lnk = ?
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll
O10 - Broken Internet access because of LSP provider 'bmnet.dll' missing
O15 - Trusted Zone: *.sxload.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {ABC1D8DE-CAB5-4FB7-BCD0-137BAB9F09DC} (aldisued-fotos-druck_de_bilduebertragung) - http://www.aldisued-fotos-druck.de/upload/aldi_sued_bilduebertragung.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - mk:@MSITStore:C:\DOKUME~1\***\LOKALE~1\Temp\winfix.chm::/SystemDoctor2006FreeInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = teamtraining.local
O17 - HKLM\Software\..\Telephony: DomainName = teamtraining.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{53F845BA-4F82-481D-94C9-449E4CAF626B}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = teamtraining.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = teamtraining.local
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\lsass.dll C:\PROGRA~1\Agnitum\OUTPOS~1.0\wl_hook.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.3 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\System32\basfipm.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

Antwort

Themen zu Symbole verändert, .exe in windows/temp, system32 leer
ad-aware, antivir, blau, c:\windows\temp, desktop, diverse, dll, explorer, firewall, frage, hintergrund, infiziert, kein explorer, leer, löschen, neustart, officescan, ordner, popups, problem, rundll, rundll32.exe, scanner finden nichts, suche, system, system32, temp, temp ordner, windows, windows firewall, windows\temp



Ähnliche Themen: Symbole verändert, .exe in windows/temp, system32 leer


  1. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  2. Nach obskuren Festplattenmeldungen ist Desktop leer, Benutzerdaten verschwunden, Taskleiste leer
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (1)
  3. TrojWare.Win32.Buzus.carj in C:\Windows\Temp\HInfo.exe bzw. C:\Windows\Temp\restart.exe
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (2)
  4. windows system 32 hardware fehler: failed to save all components - wie symbole wiederherstellen?
    Log-Analyse und Auswertung - 02.04.2012 (3)
  5. destkop leer (ausser Papierkorb), Startmenü leer, kein zugriff auf dateien - generic fakealert.bz?
    Log-Analyse und Auswertung - 27.03.2012 (1)
  6. Firewall lässt sich nicht starten, System32 und csrssdaten verändert
    Plagegeister aller Art und deren Bekämpfung - 18.07.2011 (5)
  7. Ordner sind leer, Startmenü auf der linken seite leer, festplatte leer, aber sind noch 70GB drauf
    Log-Analyse und Auswertung - 01.06.2011 (1)
  8. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  9. Windows Diagnostic Desktop Symbole verschunden
    Plagegeister aller Art und deren Bekämpfung - 22.03.2011 (1)
  10. C:\windows\system32\AppData\Local\Temp\Kg0.exe
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (9)
  11. Trojaner TR/Crypt.ZPACK.gen in C:/WINDOWS/TEMP/xxxx.temp/svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 30.04.2010 (33)
  12. Mehrere Trojaner Funde in System32 und temp ordner. Häufiger Bluescreen
    Plagegeister aller Art und deren Bekämpfung - 24.03.2010 (7)
  13. JAVA/Dldr.Agent.L C:\windows\Temp\~77E1.temp
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (2)
  14. Trojaner im System32 und Temp Ordner
    Plagegeister aller Art und deren Bekämpfung - 05.01.2009 (1)
  15. desktop symbole verändert...
    Mülltonne - 22.06.2008 (0)
  16. mx_**.temp dateien in windows/temp ordner?
    Plagegeister aller Art und deren Bekämpfung - 27.06.2007 (1)
  17. windows kennwort verändert...
    Plagegeister aller Art und deren Bekämpfung - 12.09.2005 (1)

Zum Thema Symbole verändert, .exe in windows/temp, system32 leer - Hi, ich war auf der Suche nach nem Interpreten und kam dummer Weise auf die Seite w*w.emp3s.com, und da flogen mir die "was auch immer" nur so um die Ohren. - Symbole verändert, .exe in windows/temp, system32 leer...
Archiv
Du betrachtest: Symbole verändert, .exe in windows/temp, system32 leer auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.