Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: immer wieder Downloader in C:\\Windows\temp files

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.09.2007, 10:29   #1
Zettinator
 
immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



Liebes Trojaner Board Team und Trojaner Board User


Ich wollte mir vor kurzer Zeit Nero 7. irgendwas installieren. Doch am Anfang kam so ein komisches Fenst, welches mir mehrere Dateien in den besagten Ordner installierte. Symantec Antivir findet diese löscht sie, jedoch nach wenigen Sekunden kommen neue Downloader Warnungen.

die Dateien heißen meistens C:\\Windows\temp Files\Bit... .tmp


Ich habe schon Virenchecker wie Ad Aware und eben Symantec AntiVir durchlaufen lassen, ohne Erfolg. Er hat zwar die Dateien erkantn im Temp Ordner doch auch dieses Mal warn sie nach kurzer Zeit wieder da.

Logfile of HijackThis v1.99.1
Scan saved at 11:08:43, on 29.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\T-Mobile\webnwalk Manager\webnwalkmanager.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = httpwww.hak-neusiedl.at]Handelsakademie und Handelsschule Neusiedl am See
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe"
O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programme\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] D:\Spiele\Steam.exe -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: web'n'walk Manager.lnk = C:\Programme\T-Mobile\webnwalk Manager\webnwalkmanager.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_httpwww.hak-neusiedl.at
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - httpwww.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - httpcdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hak-neusiedl.local
O17 - HKLM\Software\..\Telephony: DomainName = hak-neusiedl.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hak-neusiedl.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hak-neusiedl.local
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe

Muss ich nun meinen Computer neu aufsetzen oder gibt es noch Hilfe!
Wie Edit Klinger einmal sagte: BITTE BITTE BITTE nehmt euch meines Problemes an!

Geändert von Zettinator (29.09.2007 um 10:38 Uhr)

Alt 29.09.2007, 10:38   #2
.::|||::.
 

immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



Zitat:
Zitat von Zettinator Beitrag anzeigen
Ich wollte mir vor kurzer Zeit Nero 7. irgendwas installieren. Doch am Anfang kam so ein komisches Fenst, welches mir mehrere Dateien in den besagten Ordner installierte. Symantec Antivir findet diese löscht sie, jedoch nach wenigen Sekunden kommen neue Downloader Warnungen.

die Dateien heißen meistens C:\\Windows\temp Files\Bit... .tmp
Schreibe Bitte den Pfad aus: C:\\Windows\temp Files\Bit... .tmp
Eig. sollte sich in WINDOWS gar kein Ordner namens "temp Files" befinden, sondern nur einer mit namen "Temp".
Kannst du die Namen der Files in C:\Windows\temp Files\ bitte hier auflisten?
Dann sehen wir weiter.

IMO sieht dein Hijackthis-log eig. sauber aus.

Noch ne Frage, die Nero Version ist legal, oder? Oder wurde ein Crack oder Keygen mitgeliefert?
Sehr oft sind solche Files infiziert!
Mfg
__________________

__________________

Alt 29.09.2007, 10:44   #3
Zettinator
 
immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



Zitat:
Zitat von .::|||::. Beitrag anzeigen
Schreibe Bitte den Pfad aus: C:\\Windows\temp
Noch ne Frage, die Nero Version ist legal, oder? Oder wurde ein Crack oder Keygen mitgeliefert?
Sehr oft sind solche Files infiziert!
Mfg
Ja, ein Freund meinte nur, er habe die neue Version und ich hab mir nichts daei gedacht und ich glaube er war gecrackt.

Und ja natürlich tut mir leid! Der Pfad:

alle 6 die er so eben gefunden hat:

C:\\Windows\TEMP\BIT7BA.tmp

C:\\Windows\TEMP\BIT7BE.tmp

C:\\Windows\TEMP\BIT7C2.tmp

C:\\Windows\TEMP\BIT7C6.tmp

C:\\Windows\TEMP\BIT7CA.tmp

C:\\Windows\TEMP\BIT7CE.tmp

Weitere 2 soeben gefundene:

C:\\Windows\TEMP\BIT7D2.tmp

C:\\Windows\TEMP\BIT7D6.tmp
__________________

Alt 29.09.2007, 10:49   #4
.::|||::.
 

immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



Zitat:
Zitat von Zettinator Beitrag anzeigen
Ja, ein Freund meinte nur, er habe die neue Version und ich hab mir nichts daei gedacht und ich glaube er war gecrackt.
Spielt jetzt ja auch keine Rolle mehr... Lösch die Installationsdatei von Nero und alles andere was dazugehört (Crack/Keygen etc.)
Lade dir den CCleaner und bereinige dein System (sowohl die Temp Files, als auch die Registry), mache dann anschliessend einen eScan nach Anleitung (siehe Links in meiner Signatur) und poste das eScan-Log!
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 29.09.2007, 16:08   #5
Zettinator
 
immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



mein e-scan Teil:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ultimate cleaner Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\winhld32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\winhld32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\winhld32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700001.VBN//CryptZ infiziert von "Trojan.Win32.Obfuscated.en" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Mozilla Firefox\keygen.exe//PE_Patch.UPX//UPX infiziert von "Trojan.Win32.Inject.fo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\winhld32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINFKT\WINFKT.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINFKT\WINFKTCA.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINFKT\WINFKTSI.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINFKT\WINFKTSS.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WINFKT\WINFKT.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WINFKT\WINFKTCA.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WINFKT\WINFKTSI.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WINFKT\WINFKTSS.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\DOKUME~1\ZETT~2.JIB\LOKALE~1\Temp\NeroDemo12071\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700000.VBN//CryptZ//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700002.VBN//CryptZ//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700003.VBN//CryptZ//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700004.VBN//CryptZ//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700005.VBN//CryptZ markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700006.VBN//CryptZ markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Lokale Einstellungen\Temp\NeroDemo12071\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Lokale Einstellungen\temp\nerodemo12071\toolbar.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Anwendungsdaten\ultimate cleaner
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1f6a3238-a78c-11db-9d59-0013a948db85} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e7198900-1c3f-11dc-9ede-0013a948db85} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {e7198900-1c3f-11dc-9ede-0013a948db85}\Shell\Autoplay\DropTarget\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL webnwalkmanager.msi AUTORUN=1
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\ZETT~2.JIB\LOKALE~1\Temp\NeroDemo12071\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Zett\Lokale Einstellungen\Temp\GLBAF7.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Lokale Einstellungen\Temp\NeroDemo12071\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\installationsdateien\cbsetup.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 115922
Gefundene Viren: 35
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 152
Dauer des Scans bisher: 01:10:27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:04:49,01
Batchende: 17:04:59,98


Alt 30.09.2007, 09:59   #6
.::|||::.
 

immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



Hmmm...
Dein eScan-Log weist die üblichen Fehlalarme auf, was mich stutzig macht sind jedoch files wie diese:
Zitat:
C:\WINDOWS\system32\rqrsqqr.dll
C:\WINDOWS\system32\winhld32.dll
C:\Programme\Mozilla Firefox\keygen.exe
Ich weiss nicht mehr so recht wies weitergehen soll...
Kannst du Bitte noch einen Scan mit Blacklight machen und das Log posten?
Und hast du den CCleaner schon drübergelassen, mache es bitte nochmal und bereinige auch die Registry!
Ich hoffe doch, das sich noch ein Experte den Thread anschaut!
Mfg
__________________
--> immer wieder Downloader in C:\\Windows\temp files

Alt 30.09.2007, 10:29   #7
nochdigger
 
immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



Hallo

mach mal alle versteckten Dateien und Ordner sichtbar.
Zitat:
Zitat von .::|||::.
Und hast du den CCleaner schon drübergelassen, mache es bitte nochmal und bereinige auch die Registry!
Ja mach das mal --> Ccleaner
Zitat:
Lade dir das Tool hier herunter -> KLICK
eben so
Zitat:
Lade dir dieses Tool -> SmitfraudFix
und auch
Zitat:
Lade dir vundofix.exe
bitte die Tools noch nicht laufen lassen lass zuerst diese Dateien :
Zitat:
Zitat von .::|||::.
Zitat:
Zitat:
C:\WINDOWS\system32\rqrsqqr.dll
C:\WINDOWS\system32\winhld32.dll
C:\Programme\Mozilla Firefox\keygen.exe
nochmal hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Alt 30.09.2007, 16:51   #8
Zettinator
 
immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



ok jetzt ists tot, wollte mit vundo diese rq bla bla bla datei entfernen, jetzt sagta a ma immer, dass die lsass Datei ned geht...

Alt 01.10.2007, 14:32   #9
.::|||::.
 

immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



Zitat:
Zitat von Zettinator Beitrag anzeigen
ok jetzt ists tot, wollte mit vundo diese rq bla bla bla datei entfernen, jetzt sagta a ma immer, dass die lsass Datei ned geht...
Was ist tot?
Poste die genaue Fehlermeldung!
Hast du den Vondofix nach Anleitung gemacht?
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 01.10.2007, 18:11   #10
Zettinator
 
immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



ALSO ... die Datei halt diese rq.... hat mir jetzt Windows verprügelt und Windows hat schlapp gemacht. Mein Schulcomputerbetreuer meinte ich solle Windows reparieren, ich bin jetzt im Menü gegangen auf Windows neu installieren ohne neu aufsetzen. Frage an euch, soll ich jetzt alle wichtigen Dateien sichern und dann den Laptop komplett neu aufsetzen oder reicht dieser Schritt fürs erste???

Die Fehlermeldung war: llsass.exe kann nicht ausgeführt werden.

das Registry löschen hat gebracht, dass nicht mehr die Viren in TEMP gekommen sind.

Wie handle ich nun weiter?

Virustotal:
Reihung:
C:\WINDOWS\system32\rqrsqqr.dll
C:\WINDOWS\system32\winhld32.dll
C:\Programme\Mozilla Firefox\keygen.exe

Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.29.0 2007.09.28 Win-Trojan/Agent.44054
AntiVir 7.6.0.18 2007.09.28 TR/Vundo.Gen
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 -
AVG 7.5.0.488 2007.09.30 Downloader.Agent.SQK
BitDefender 7.2 2007.09.30 Trojan.Virtumonde.IL
CAT-QuickHeal 9.00 2007.09.29 TrojanDownloader.Agent.dlu
ClamAV 0.91.2 2007.09.30 -
DrWeb 4.33 2007.09.30 -
eSafe 7.0.15.0 2007.09.29 Suspicious Trojan/Worm
eTrust-Vet 31.2.5174 2007.09.30 Win32/Chisyne!generic
Ewido 4.0 2007.09.30 -
FileAdvisor 1 2007.09.30 -
Fortinet 3.11.0.0 2007.09.30 W32/Agent.DLU!tr.dldr
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 Trojan-Downloader.Win32.Agent.dlu
Ikarus T3.1.1.12 2007.09.30 not-a-virus:AdWare.Win32.Virtumonde.jp
Kaspersky 7.0.0.125 2007.09.30 Trojan-Downloader.Win32.Agent.dlu
McAfee 5130 2007.09.28 Downloader.gen.a
Microsoft 1.2803 2007.09.30 Trojan:Win32/ConHook.B
NOD32v2 2560 2007.09.30 -
Norman 5.80.02 2007.09.28 W32/Vundo.dam
Panda 9.0.0.4 2007.09.30 Spyware/Virtumonde
Prevx1 V2 2007.09.30 -
Rising 19.42.61.00 2007.09.30 -
Sophos 4.22.0 2007.09.30 Virtumundo
Sunbelt 2.2.907.0 2007.09.28 Virtumonde
Symantec 10 2007.09.30 Adware.VirtuMonde
TheHacker 6.2.6.073 2007.09.28 Trojan/Downloader.Agent.dlu
VBA32 3.12.2.4 2007.09.30 Trojan-Downloader.Win32.Agent.dlu
VirusBuster 4.3.26:9 2007.09.29 Trojan.DL.Vundo.R
Webwasher-Gateway 6.0.1 2007.09.28 Trojan.Vundo.Gen
weitere Informationen
File size: 44054 bytes
MD5: 67f2bcd4263ff4f61764f600aeca8047
SHA1: 22dbb92a66d394660068ee7ace3a140dd87f2d4c
packers: PecBundle, PECompact
Sunbelt info: Virtumonde is an adware program that displays pop-up advertisements on the desktop. Virtumonde also downloads other software from various remote servers.



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 TR/Crypt.PEC2X.Gen
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 -
AVG 7.5.0.488 2007.09.30 Dialer.NLH
BitDefender 7.2 2007.09.30 -
CAT-QuickHeal 9.00 2007.09.29 -
ClamAV 0.91.2 2007.09.30 -
DrWeb 4.33 2007.09.30 -
eSafe 7.0.15.0 2007.09.29 Suspicious Trojan/Worm
eTrust-Vet 31.2.5174 2007.09.30 -
Ewido 4.0 2007.09.30 -
FileAdvisor 1 2007.09.30 -
Fortinet 3.11.0.0 2007.09.30 W32/Nebule.QN!tr
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 Trojan.Win32.Dialer.qn
Ikarus T3.1.1.12 2007.09.30 Trojan.Win32.Agent.qt
Kaspersky 7.0.0.125 2007.09.30 Trojan.Win32.Dialer.qn
McAfee 5130 2007.09.28 BackDoor-CVT
Microsoft 1.2803 2007.09.30 Trojan:Win32/Adialer.OP
NOD32v2 2560 2007.09.30 -
Norman 5.80.02 2007.09.28 -
Panda 9.0.0.4 2007.09.30 Suspicious file
Prevx1 V2 2007.09.30 Trojan.Vundo
Rising 19.42.61.00 2007.09.30 -
Sophos 4.22.0 2007.09.30 Troj/Nebule-Gen
Sunbelt 2.2.907.0 2007.09.28 VIPRE.Suspicious
Symantec 10 2007.09.30 Trojan.Nebuler
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.30 -
VirusBuster 4.3.26:9 2007.09.29 -
Webwasher-Gateway 6.0.1 2007.09.28 Trojan.Crypt.PEC2X.Gen
weitere Informationen
File size: 20992 bytes
MD5: aec1594d272b3760c0f3899f169b77d6
SHA1: bfcff81d0690c5af2333e18475702f79686f2afc
packers: PECOMPACT
packers: PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: WINTFJ32.DLL, Prevx
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 Win32:LoadAdv-I
AVG 7.5.0.488 2007.09.30 Downloader.Generic6.KYH
BitDefender 7.2 2007.09.30 BehavesLike:Win32.AV-Killer
CAT-QuickHeal 9.00 2007.09.29 Trojan.Inject.fo
ClamAV 0.91.2 2007.09.30 Trojan.Small-3588
DrWeb 4.33 2007.09.30 Trojan.Inject.424
eSafe 7.0.15.0 2007.09.29 suspicious Trojan/Worm
eTrust-Vet 31.2.5174 2007.09.30 Win32/Harnig!generic
Ewido 4.0 2007.09.30 -
FileAdvisor 1 2007.09.30 -
Fortinet 3.11.0.0 2007.09.30 W32/Dowadv.B!tr.dldr
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 Trojan.Win32.Inject.fo
Ikarus T3.1.1.12 2007.09.30 Trojan-Downloader.LoadAdv.B
Kaspersky 7.0.0.125 2007.09.30 Trojan.Win32.Inject.fo
McAfee 5130 2007.09.28 Downloader-AWM.gen
Microsoft 1.2803 2007.09.30 -
NOD32v2 2560 2007.09.30 a variant of Win32/TrojanDownloader.Small.NUS
Norman 5.80.02 2007.09.28 W32/Downloader
Panda 9.0.0.4 2007.09.30 -
Prevx1 V2 2007.09.30 Malware.Gen
Rising 19.42.61.00 2007.09.30 -
Sophos 4.22.0 2007.09.30 Mal/DowAdv-B
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.30 Downloader
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.29 Trojan.Win32.Inject.fo
VirusBuster 4.3.26:9 2007.09.29 Trojan.DL.Loadadv.Gen.2
Webwasher-Gateway 6.0.1 2007.09.28 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 8192 bytes
MD5: 70ecaa67839fab2766efa97152062a37
SHA1: 8c93bc6b0b63e16ec707de145feabfe0cc69d985
packers: UPX
packers: UPX
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
norman sandbox: [ General information ]<br /> * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.<br /> * Decompressing UPX.<br /> * Creating several executable files on hard-drive.<br /> * File length: 8192 bytes.<br /><br /> [ Changes to filesystem ]<br /> * Creates file C:\1814656820.<br /> * Creates file C:\mouuuvbh.exe.<br /><br /> [ Network services ]<br /> * Opens URL: http://wanrzcvupf.hk/progs/gywye/kwyrkdv.php?adv=adv449.<br /> * Connects to \"wanrzcvupf.hk\" on port 80 (TCP).<br /> * Opens URL: wanrzcvupf.hk/progs/gywye/kwyrkdv.php.<br /> * Opens URL: http://wanrzcvupf.hk/progs/gywye/ehkms.php.<br /> * Opens URL: wanrzcvupf.hk/progs/gywye/ehkms.phphp.<br /><br /> [ Security issues ]<br /> * Starting downloaded file - potential security problem.<br /><br />
Prevx info: KEYGEN.EXE, Prevx

Geändert von Zettinator (01.10.2007 um 18:31 Uhr)

Alt 01.10.2007, 18:30   #11
.::|||::.
 

immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



Zitat:
Die Fehlermeldung war: llsass.exe kann nicht ausgeführt werden.
Wenn es wirklich llsass.exe (mit 2 l wie Löwe) war, ist es gefährlich, die lsass.exe gehört zu Windows!

Zitat:
Zitat von Zettinator Beitrag anzeigen
Wie handle ich nun weiter?
Evt. hat Vundofix ja wirklich dein Sys zerschossen, dann wäre Neuaufsetzen inkl. Formatieren angesagt!
Wenn dann noch die llsass.exe dazukommt...
Kannst du nochmal ein Hijackthis-log posten? Vll. ist was dazugekommen seit dem letzten mal
Mfg
__________________
.::Never touch a running system::.
.::Hijackthis::..::eScan::..::Virustotal::..::Killbox::..::Neuaufsetzen::.

Alt 01.10.2007, 23:07   #12
Zettinator
 
immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



Logfile of HijackThis v1.99.1
Scan saved at 00:01:43, on 02.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\WINDOWS\explorer.exe
C:\Zett\Zett.JIB-374EB6AC3BE\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe



habe jetzt auch Firefox gelöscht, wo der Keygen drinnen war. Vundo Fix zeigt mir zurzeit nichts an. Morgn kommt Symantec und Zone Alarm drauf uuunnnddd Frage am Rande, welchen Internet Explorerer soll ich mir jetzt runterladen??? Ich hasse den Microsoft und Firefox mag ich jetzt auch nimma... Irgendwelche Empehlungen???

Alt 02.10.2007, 13:49   #13
Todward
Gesperrt
 
immer wieder Downloader in C:\\Windows\temp files - Standard

immer wieder Downloader in C:\\Windows\temp files



also bei den internet exploreren bleibt dann nur noch opera übrig.

Antwort

Themen zu immer wieder Downloader in C:\\Windows\temp files
ad aware, anfang, antivir, antivirus, computer, desktop, downloader, drivers, einstellungen, excel, firefox, hijack, hijackthis, immer wieder, internet, internet explorer, mehrere, mozilla, mozilla firefox, neu aufsetzen, object, registry, rundll, sekunden, software, sweetim, symantec, system, t-mobile, temp ordner, trojaner, trojaner board, urlsearchhook, windows, windows xp, windows\temp




Ähnliche Themen: immer wieder Downloader in C:\\Windows\temp files


  1. HEUR/QVM10.1.Malware.Gen, 500MB Junk Files Installieren sich immer wieder neu.
    Log-Analyse und Auswertung - 17.10.2015 (5)
  2. Windows 7: Avira meldet immer wieder ADWARE/Adware.Gen4 bzw. .Gen7, zudem taucht Optimizer Pro immer wieder auf
    Log-Analyse und Auswertung - 14.12.2014 (9)
  3. Virenfund APPL/DOWNLOADER.GEN kommt immer wieder
    Log-Analyse und Auswertung - 01.09.2014 (7)
  4. Bitcoin Virus, wincpu.exe stellt sich immer wieder her : Benutzer/appdata/local/temp/64
    Plagegeister aller Art und deren Bekämpfung - 07.05.2014 (11)
  5. immer wieder neue Setup.exe in Temp-Ordner
    Plagegeister aller Art und deren Bekämpfung - 31.12.2013 (12)
  6. Windows 7 64bit - Win32.downloader.gen (C:\Program Files (x86)\Conduit\Community Alerts\Alert.dll) durch Spybot gefunden
    Log-Analyse und Auswertung - 29.09.2013 (7)
  7. Ransomware - Avira DE-Cleaner meldet immer wieder 3 Files
    Plagegeister aller Art und deren Bekämpfung - 08.07.2013 (19)
  8. Trojan Alarm! immer wieder DWH*.tmp Files
    Plagegeister aller Art und deren Bekämpfung - 20.06.2011 (1)
  9. "service.exe" in C:\TEMP\ von Norton gefunden, taucht aber immer wieder auf!
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (26)
  10. tr downloader.gen C:\WINDOWS\Temp\cmqk.tmp\svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 05.07.2010 (13)
  11. Unregelmäßigkeiten auf Bankseite und immer wieder svchost.exe im Temp Ordner
    Plagegeister aller Art und deren Bekämpfung - 01.07.2010 (1)
  12. svchost.exe erstellt sich immer wieder neu im TEMP Ordner
    Plagegeister aller Art und deren Bekämpfung - 18.01.2010 (1)
  13. unruy.c / Koobface.K / Trojaner generiert sich immer wieder im Temp
    Plagegeister aller Art und deren Bekämpfung - 08.11.2009 (7)
  14. TR/Agent.iob immer wieder im temp Ordner - wie krieg ich den weg ?
    Plagegeister aller Art und deren Bekämpfung - 12.11.2008 (1)
  15. Trojaner generiert sich immer wieder neu im windows/temp ordner
    Log-Analyse und Auswertung - 21.07.2007 (8)
  16. TR/Delphi.Downloader.Gen - Trojan kommt immer wieder bitte helfen!!
    Log-Analyse und Auswertung - 31.10.2006 (1)
  17. temp files
    Plagegeister aller Art und deren Bekämpfung - 17.05.2004 (4)

Zum Thema immer wieder Downloader in C:\\Windows\temp files - Liebes Trojaner Board Team und Trojaner Board User Ich wollte mir vor kurzer Zeit Nero 7. irgendwas installieren. Doch am Anfang kam so ein komisches Fenst, welches mir mehrere Dateien - immer wieder Downloader in C:\\Windows\temp files...
Archiv
Du betrachtest: immer wieder Downloader in C:\\Windows\temp files auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.