war auf der Seite, die du mir angegeben hast und habe das runtergeladen, was in der ersten Zeile ("Click here to download the latest version (Revision 49) of “Silent Runners.vbs”. ") angeboten wird... egal ob ich es nur öffnen wollte oder schließlich gespeichert hab und dann öffnet wollte, es kam ein popup: "Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Die sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen." ---> das "diesem" macht mich ein bißchen skeptisch...
aber was genau bedeutet das jetzt? Und was war das genau für ein Programm??--> sorry... habs nicht so drauf, wenn's um diese Dinge geht ;-)

PS: aber bin jetzt gerade wieder mit firefox drin und stürze nicht ab =)

bis Morgen...

Zitat:

Zitat von canuma78

"Der Zugriff auf Windows Script Host wurde für diesem Computer deaktiviert. Wenden Die sich an Ihren Administrator, um weitere Details in Erfahrung zu bringen."

Start > Ausführen > regedit

Hierhin navigieren:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings

und "Enabled" auf den Wert "1" ändern. Sollte "Enabled" nicht vorhanden sein, einfach einen DWORD-eintrag erstellen (rechter Mausklick im rechten Teil des Fensters), ihn "Enabled" (ohne "") nennen und den Wert 1 verpassen. Im Zweifelsfall danach neustarten.

ok... diesmal hat was funktioniert... hoffe das ich alles richtig gemacht hab... denn das kam raus:

"Silent Runners.vbs", revision 49, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ccleaner" = ""C:\Programme\CCleaner\ccleaner.exe" /AUTO" ["Piriform Ltd"]
"TVgenial" = "D:\TVgenial\TVgenial.exe -d" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["T-Online International AG, Marmiko IT-Solutions GmbH"]
"T-Online DSL-Manager" = ""C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"" ["T-Systems International GmbH"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"!AVG Anti-Spyware" = ""C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Flashget Catch Url Class"
\InProcServer32\(Default) = "C:\Programme\FlashGet\jccatch.dll" ["www.flashget.com"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{F156768E-81EF-470C-9057-481BA8380DBA}\(Default) = (no title provided)
-> {HKLM...CLSID} = "gFlash Class"
\InProcServer32\(Default) = "C:\Programme\FlashGet\getflash.dll" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\OpenOffice.org1.1.5\program\shlxthdl.dll" ["Sun Microsystems, Inc."]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\TUNEUP~1\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\Dokumente und Einstellungen\ihatemicrosoft\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\ihatemicrosoft\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"1-Click Maintenance" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
"At1" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At10" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At11" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At12" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At13" -> launches: "C:\WINDOWS\dr.exe" [file not found]
"At14" -> launches: "C:\WINDOWS\user32.exe" [null data]
"At15" -> launches: "C:\WINDOWS\dr.exe" [file not found]
"At16" -> launches: "C:\WINDOWS\user32.exe" [null data]
"At17" -> launches: "C:\WINDOWS\user32.exe" [null data]
"At18" -> launches: "C:\WINDOWS\dr.exe" [file not found]
"At19" -> launches: "C:\WINDOWS\user32.exe" [null data]
"At2" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At20" -> launches: "C:\WINDOWS\dr.exe" [file not found]
"At21" -> launches: "C:\WINDOWS\dr.exe" [file not found]
"At22" -> launches: "C:\WINDOWS\user32.exe" [null data]
"At3" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At4" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At5" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At6" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At7" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At8" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]
"At9" -> launches: "C:\WINDOWS\System32\wunauclt.exe" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{E0E899AB-F487-11D5-8D29-0050BA6940E3}" = "FlashGet"
-> {HKLM...CLSID} = "FlashGet"
\InProcServer32\(Default) = "C:\Programme\FlashGet\fgiebar.dll" ["Amaze Soft"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\
"ButtonText" = "FlashGet"
"MenuText" = "FlashGet"
"Exec" = "C:\PROGRA~1\FlashGet\flashget.exe" ["FlashGet.com"]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["Anti-Malware Development a.s."]
Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\HPZipm12.exe" ["HP"]
T-Online DSL-Manager, TODslService, ""C:\Programme\T-Online\DSL-Manager\TODslSvc.exe"" ["T-Systems International GmbH"]


Ok.. ist das sowas ähnlich, wie das HijackThis Log?

Grüße

canuma

Zitat:

Zitat von canuma78

C:\WINDOWS\user32.exe
C:\WINDOWS\System32\wunauclt.exe
C:\WINDOWS\dr.exe <- falls die Datei noch zu finden ist

Lasse diese Dateien hier scannen und poste das Ergebnis mit! Größenangabe und Hashwerten (stehen unter der Auswertung).

Zitat:

Ok.. ist das sowas ähnlich, wie das HijackThis Log?

Quasi. Der Unübersichtlichkeitsfaktor ist höher, der Informationsgehalt aber auch.

oh... das mit der user32.exe ist sowieso sehr seltsam... die war gestern noch unter c:/Programme... hab sie mit der Killbox gelöscht, aber ist wohl gewandert?

ok... hab grad versucht das durchzuführen, aber geht nicht... dr.exe ist überhaupt nicht mehr zu finden und bei den anderen kommt ein Text mit:

Your file "wunauclt.exe" is queued in position: 62. Estimated start time is between 12 and 17 minutes.

bzw. Your file "user32.exe" is queued in position: 76. Estimated start time is between 14 and 21 minutes.

Alles was sich ändert, wenn ich es nochmal versuche sind die Zahlen (position und zwischen... und ... Minuten)

Das ist was Schlchtes, oder? Hab ich irgendeinen Wandervirus???

Zitat:

Zitat von canuma78

Alles was sich ändert, wenn ich es nochmal versuche sind die Zahlen (position und zwischen... und ... Minuten)
Das ist was Schlchtes, oder? Hab ich irgendeinen Wandervirus???

Geduld junger Krieger. Dir wird die Wartezeit (Dauer bis Deine Anfrage bearbeitet werden kann) angezeigt.

Kriegerin! ;o)

ok... war mittlerweile einkaufen (deswegen kommt die Antwort erst jetzt...) Bei virustotal dauert es dann noch ne Stunde (laut Angabe) bis meine Anfrage bearbeitet wird... versuche das nebenher laufen zu lassen... aber bis dahin hab' ich Ergebnisse von jotti...


Datei: user32.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PACKMAN

AntiVir
HEUR/Crypted gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
BehavesLike:Trojan.Downloader gefunden (mögliche Variante)
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.DownLoader.17203 gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Trojan-Downloader.Win32.Murlo.ey gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Murlo.ey gefunden
NOD32
a variant of Win32/TrojanDownloader.Small.EDB gefunden
Norman Virus Control
Sandbox: W32/Downloader; [ General information ]

* File might be compressed.
* File length: 4839 bytes.

[ Changes to filesystem ]
* Creates file C:\1814656820.
* Creates file C:\hshwy.exe.

[ Network services ]
* Opens URL: http://yepjnddqpq.biz/progs/oorxxhrokh/bctblqlgxf.php?adv=adv636.
* Opens URL: http://yepjnddqpq.biz/progs/oorxxhrokh/nofxbwr.

[ Security issues ]
* Starting downloaded file - potential security problem. gefunden
VirusBuster
novirus:Packed/Packman gefunden
VBA32
Trojan-Downloader.Win32.Murlo.ey gefunden

.... und....

Datei: wunauclt.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
P2P-Worm.Win32.Padonak.a gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
P2P-Worm.Win32.Padonak.a gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

hmm....