Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Komischer Benutzername hat sich eingeschlichen.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 28.08.2006, 23:59   #1
Elch2001
 
Komischer Benutzername hat sich eingeschlichen. - Standard

Komischer Benutzername hat sich eingeschlichen.



Hallo!
Vor einigen wochen war mein Rechner von einem Virus befallen. keine ahnung woher. aber ich hatte einen gefunden.Mein System läuft auch wieder stabil. Doch ich habe noch ein kleines Problem.
Und zwar ist mir in dem Ordner "Dokumente und Einstellungen" ein Ordner aufgefallen, der den Namen "gNyMbWlsBqlASbPedp" trägt. Wenn ich ihn lösche, kommt der Ordner wieder. Ich habe bereitz danach gegooglt, konnte aber leider nichts darüber finden. Habe angst das mein Rechner noch von irgendwas befallen ist. wenn ich nun einen Virenscanner drüber fahren lass. Findet dieser nichts. auch Wochen später nichts. Hab den Antivir Personal Edition benutzt.
Auch "Ad-ware SE" findet nix großartiges.
Danke schon mal für eure mühen.
Mit freundlichen Grüßen
Christian Paulsen

System: Windows XP

Hier die Funde vom Viren Scanner damals.
Eigentlich kann das doch garnicht vom Virus kommen.

C:\RECYCLER\S-1-5-21-606747145-515967899-839522115-1003\Dc803.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.akq.8
C:\WINDOWS\system32:voaa.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.JH.1
[INFO] Die Datei wurde gelöscht.
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\3F.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.FX.3
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\4.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.FX.3
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\5.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.FX.3
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\E.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.FX.3
[INFO] Die Datei wurde gelöscht.


Logfile of HijackThis v1.99.1
Scan saved at 01:14:04, on 29.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\QuickTime\qttask.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\spiele\steam\steam.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Electronic Arts\EA Downloader\Core.exe
C:\WINDOWS\system32\rundll32.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\****\LOKALE~1\Temp\Rar$EX00.406\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.krsmdtqnhnuwagq.com/VzcO70ky8e47QjfccUs9cM10fWr86AKkR9nh_nAVV_B4VDnk8BjEkcQkc_jLk7v2.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.chat4free.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing)
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - h**p://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3ADB3F65-3331-4473-BC33-DB293BF011FE}: NameServer = 192.168.0.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Geändert von Elch2001 (29.08.2006 um 00:20 Uhr)

Alt 29.08.2006, 00:08   #2
Yopie
Moderator, a.D.
 
Komischer Benutzername hat sich eingeschlichen. - Standard

Komischer Benutzername hat sich eingeschlichen.



Zitat:
Zitat von Elch2001
Hallo!
Und zwar ist mir in dem Ordner "Dokumente und Einstellungen" ein Ordner aufgefallen, der den Namen "gNyMbWlsBqlASbPedp" trägt. Wenn ich ihn lösche, kommt der Ordner wieder. Ich habe bereitz danach gegooglt, konnte aber leider nichts darüber finden. Habe angst das mein Rechner noch von irgendwas befallen ist. wenn ich nun einen Virenscanner drüber fahren lass. Findet dieser nichts.
Das ist nicht normal, und das ist in der Tat ein Zeichen dafür, dass der Rechner noch von "irgendwas" befallen ist.

Mein Rat: Formatieren und neu aufsetzen, um diese Unsicherheit definitiv loszuwerden! Halte dich dazu an die Anleitung im Anleitungsforum!

Gruß
Yopie
__________________


Alt 29.08.2006, 00:24   #3
Elch2001
 
Komischer Benutzername hat sich eingeschlichen. - Standard

Komischer Benutzername hat sich eingeschlichen.



Hallo!
Danke. aber genau das will ich ja gerne verhindern.
Platt machen kann ich den immer. Aber ich weiss ja nicht wo der Virus her kam. Insofern könnt ich ja alles umsonst machen. Und nachher is der Rechner wieder infiziert.



.... Ja ich habs schon gelesen.. werd mich wohl nicht gegen eine Neuinstallation währen können ;-(
Weil wegen Malware manipuliert das System usw. denn muss ich wohl alles runterbrennen.
Und das System nochmal sicher installieren... Oder ?
__________________

Geändert von Elch2001 (29.08.2006 um 00:33 Uhr)

Alt 29.08.2006, 00:31   #4
Yopie
Moderator, a.D.
 
Komischer Benutzername hat sich eingeschlichen. - Standard

Komischer Benutzername hat sich eingeschlichen.



Zitat:
Zitat von Elch2001
Platt machen kann ich den immer. Aber ich weiss ja nicht wo der Virus her kam. Insofern könnt ich ja alles umsonst machen. Und nachher is der Rechner wieder infiziert.
Das kann ich nachvollziehen. Im dem HJT-Logfile finde ich nichts besonders aussergewöhnliches, aber ich bin da nicht so der Held.

Vielleicht findet ein eScan mehr? Siehe Signatur, auch den Hinweis zur "find.bat" berücksichtigen!

Gruß
Yopie

Antwort

Themen zu Komischer Benutzername hat sich eingeschlichen.
adobe, antivir, avira, bho, downloader, einstellungen, excel, explorer, firefox, helper, hijack, hijackthis, internet, internet explorer, keine ahnung, mozilla, mozilla firefox, mozilla thunderbird, nvidia, pdf, rundll, scan, software, system, temp, viren scanner, virus, windows, windows\temp



Ähnliche Themen: Komischer Benutzername hat sich eingeschlichen.


  1. Windows 7: PC hängt sich auf bzw. komischer Fleck beim Starten.
    Log-Analyse und Auswertung - 16.11.2014 (17)
  2. Windows7: Adware bspw. VOPackage hat sich auf System eingeschlichen
    Log-Analyse und Auswertung - 12.10.2014 (12)
  3. Komischer Ordner, der heute nach dem Download eines Key-Generators erstellt wurde und sich nicht löschen lässt
    Plagegeister aller Art und deren Bekämpfung - 20.09.2014 (3)
  4. windows xp: mit der insallation von jdownloader hat sich optimizer pro eingeschlichen nun habe ich mehrere Probleme
    Log-Analyse und Auswertung - 21.01.2014 (7)
  5. Benutzername ändern
    Lob, Kritik und Wünsche - 07.11.2012 (2)
  6. svchost.exe zwei mal, komischer Ordner öffnet sich beim Start
    Plagegeister aller Art und deren Bekämpfung - 30.01.2012 (1)
  7. Malware Defense hat sich bei mir eingeschlichen!Bitte helft mir!
    Plagegeister aller Art und deren Bekämpfung - 23.01.2010 (15)
  8. Problem mit MSN - Fremdling eingeschlichen
    Diskussionsforum - 21.11.2008 (32)
  9. TR/Crypt.TPM.Gen eingeschlichen!
    Plagegeister aller Art und deren Bekämpfung - 15.10.2008 (6)
  10. Eingeschlichen trotz Schutz
    Antiviren-, Firewall- und andere Schutzprogramme - 09.10.2008 (4)
  11. Bösartiger Trojaner hat sich eingeschlichen
    Plagegeister aller Art und deren Bekämpfung - 18.09.2008 (1)
  12. Hat sich bei mir etwas eingeschlichen?
    Mülltonne - 13.12.2007 (0)
  13. Benutzername der Inet Verbindung hat sich geändert
    Alles rund um Windows - 08.05.2006 (1)
  14. komischer Virenscanner installierte sich selber
    Log-Analyse und Auswertung - 16.04.2006 (1)
  15. Bitte mal schauen. Da hat sich was eingeschlichen..
    Log-Analyse und Auswertung - 28.09.2005 (4)
  16. log Hof das nichts sich eingeschlichen hat
    Log-Analyse und Auswertung - 13.01.2005 (5)
  17. Rufnummer und Benutzername ändern sich
    Log-Analyse und Auswertung - 07.12.2004 (14)

Zum Thema Komischer Benutzername hat sich eingeschlichen. - Hallo! Vor einigen wochen war mein Rechner von einem Virus befallen. keine ahnung woher. aber ich hatte einen gefunden.Mein System läuft auch wieder stabil. Doch ich habe noch ein kleines - Komischer Benutzername hat sich eingeschlichen....
Archiv
Du betrachtest: Komischer Benutzername hat sich eingeschlichen. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.