Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: iexplore.exe im hintergrund und office installation?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.11.2007, 10:04   #1
paranoize
 
iexplore.exe im hintergrund und office installation? - Standard

iexplore.exe im hintergrund und office installation?



Guten Morgen!

Habe das Problem dass sich sobald ich den Arbeitsplatz öffne im Hintergrund mehrere iexplore.exe öffnen. Das ist schonmal soweit gegangen dass sich über Nacht so viele geöffnet habn dass der cpu heißgelaufen ist. Der computer hat auch schon ohne etwas zu starten Werbesounds abgespielt... ist aber nur 1 mal passiert...
Außerdem startet er ab und zu ohne ersichtlichem Grund das Office Installationsprogramm und will dass ich die cd einlege.
Habe schon versucht mit spybot, tuneup 2007, ccleaner, ad-aware, tweakxp und gdata antivirenkit das Problem zu lösen. Leider ohne Erfolg.
Spybot hat mir (nach dem systemstart) die meldung gebracht dass C:\WINDOWS\system32\xydzyh.exe in der registry was ändern will. Der prozess läuft aber nicht und nach dem löschen nach dem reboot wieder im Verzeichniss.
Ich hoffe ihr könnt mir helfen!


Hier meine HijackThis logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:01:09, on 16.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Daphne\Daphne.exe
C:\WINDOWS\explorer.exe
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe start
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [xydzyh] C:\WINDOWS\system32\xydzyh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~2\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{22A87F93-B875-450A-9029-4C7D3828F400}: NameServer = 192.168.10.254,192.168.10.1,195.58.161.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{258FD1BC-0545-44ED-A681-5D3BFC5D4D6F}: NameServer = 195.58.161.122,195.58.160.194
O17 - HKLM\System\CS1\Services\Tcpip\..\{22A87F93-B875-450A-9029-4C7D3828F400}: NameServer = 192.168.10.254,192.168.10.1,195.58.161.122
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Alt 16.11.2007, 10:37   #2
Cleriker
 
iexplore.exe im hintergrund und office installation? - Standard

iexplore.exe im hintergrund und office installation?



Hi und Herzlich Willkommen im Trojaner-Board

1)Schauen wir erst mal was du alles auf deinem Rechner
laufen hast.
Teatimerdeativierung
Deaktiviere bitte den Teatimer wie folgt :
Starte Spybot S&D --> klicke auf "Modus"
--> hake an "Erweiterte Modus" --> mit "Ja" bestätigen
--> klicke auf "Werkzeuge" --> klicke auf "Resident"
--> das Häkchen entfernen aus der "Resident "TeaTimer"
(Schutz aller Systemeinstellungen) --> beende Spybot S&D.

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger,
falls du keine Internetverbindung hast.
7. lade die Seite von Virustotal (alternativ Jotti)
8. lade in der dafür vorgesehen Box folgende Datei(en) hoch
Zitat:
C:\WINDOWS\system32\xydzyh.exe
C:\WINDOWS\system\svchest.exe
9. Warte die Auswertung ab
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde.
Es sind erfahrungsgemäß viele Fehlalarme dabei

2) Sagt dir diese Umleitung was:
Zitat:
address: Inode Telekommunikationsdienstleistungs GmbH
address: Technical Center
address: Shuttleworth Strasse 4-8 - Object 50
address: 1210 Vienna
address: Austria
mfg Cleriker
__________________


Alt 16.11.2007, 13:31   #3
paranoize
 
iexplore.exe im hintergrund und office installation? - Standard

iexplore.exe im hintergrund und office installation?



hi!

Teatimer war schon deaktiviert...

Totalvirus log :

xydzyh.exe:

Code:
ATTFilter
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2007.11.16.0	2007.11.16	-
AntiVir	7.6.0.34	2007.11.16	TR/Crypt.XPACK.Gen
Authentium	4.93.8	2007.11.15	-
Avast	4.7.1074.0	2007.11.15	-
AVG	7.5.0.503	2007.11.15	SHeur.TYN
BitDefender	7.2	2007.11.16	Trojan.Downloader.Delf.NYX
CAT-QuickHeal	9.00	2007.11.15	Trojan.Hupigon.gen
ClamAV	0.91.2	2007.11.16	-
DrWeb	4.44.0.09170	2007.11.16	-
eSafe	7.0.15.0	2007.11.14	Suspicious File
eTrust-Vet	31.2.5300	2007.11.16	-
Ewido	4.0	2007.11.15	-
FileAdvisor	1	2007.11.16	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.4.2.54	2007.11.16	W32/Agent.GZK
F-Secure	6.70.13030.0	2007.11.16	-
Ikarus	T3.1.1.12	2007.11.16	Trojan-Downloader.Delf.NYX
Kaspersky	7.0.0.125	2007.11.16	-
McAfee	5164	2007.11.15	Generic Downloader.ab
Microsoft	1.3007	2007.11.12	-
NOD32v2	2662	2007.11.16	-
Norman	5.80.02	2007.11.15	-
Panda	9.0.0.4	2007.11.15	Bck/Hupigon.KSG
Prevx1	V2	2007.11.16	Heuristic: Suspicious File With Persistence
Rising	20.18.40.00	2007.11.16	-
Sophos	4.23.0	2007.11.16	Mal/Basine-C
Sunbelt	2.2.907.0	2007.11.16	Trojan.Crypt.XPACK.Gen
Symantec	10	2007.11.16	Downloader
TheHacker	6.2.9.130	2007.11.15	-
VBA32	3.12.2.5	2007.11.16	suspected of Backdoor.XiaoBird.17 (paranoid heuristics)
VirusBuster	4.3.26:9	2007.11.15	Trojan.DL.Agent.WQO
Webwasher-Gateway	6.0.1	2007.11.16	Trojan.Crypt.XPACK.Gen

weitere Informationen
File size: 34304 bytes
MD5: 330fe670f107a8b857067c09ef4c6735
SHA1: 622a0595e9ee8338ab131001df16e90d8dffa47a
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=3A0E541D00EFBEDF86D6000B9635980016C669FF
         
svchest.exe:

Code:
ATTFilter
Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2007.11.16.0	2007.11.16	-
AntiVir	7.6.0.34	2007.11.16	TR/Crypt.XPACK.Gen
Authentium	4.93.8	2007.11.15	-
Avast	4.7.1074.0	2007.11.15	-
AVG	7.5.0.503	2007.11.15	SHeur.TYN
BitDefender	7.2	2007.11.16	Trojan.Downloader.Delf.NYX
CAT-QuickHeal	9.00	2007.11.15	TrojanDownloader.Delf.bfu
ClamAV	0.91.2	2007.11.16	-
DrWeb	4.44.0.09170	2007.11.16	-
eSafe	7.0.15.0	2007.11.14	Suspicious File
eTrust-Vet	31.2.5300	2007.11.16	-
Ewido	4.0	2007.11.15	-
FileAdvisor	1	2007.11.16	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.4.2.54	2007.11.16	W32/Agent.GZK
F-Secure	6.70.13030.0	2007.11.16	-
Ikarus	T3.1.1.12	2007.11.16	Trojan-Downloader.Delf.NYX
Kaspersky	7.0.0.125	2007.11.16	-
McAfee	5164	2007.11.15	Generic Downloader.ab
Microsoft	1.3007	2007.11.12	-
NOD32v2	2662	2007.11.16	-
Norman	5.80.02	2007.11.15	-
Panda	9.0.0.4	2007.11.15	Bck/Hupigon.KSG
Rising	20.18.40.00	2007.11.16	Trojan.Win32.Agent.ad
Sophos	4.23.0	2007.11.16	Mal/Basine-C
Sunbelt	2.2.907.0	2007.11.16	Trojan.Crypt.XPACK.Gen
Symantec	10	2007.11.16	Downloader
TheHacker	6.2.9.130	2007.11.15	Trojan/Downloader.gen
VBA32	3.12.2.5	2007.11.16	suspected of Backdoor.XiaoBird.17 (paranoid heuristics)
VirusBuster	4.3.26:9	2007.11.15	Trojan.DR.Agent.WQP
Webwasher-Gateway	6.0.1	2007.11.16	Win32.ModifiedUPX.gen!90 (suspicious)

weitere Informationen
File size: 89027 bytes
MD5: d5b64d48f2d5f7419b9e0fabf9b3a9c4
SHA1: 390a431de1d4a0940dfa8b2c0a9a2f4fef5c7058
packers: UPX
packers: UPX, RAR
packers: UPX
         

escan log :

Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL 
    
eScan Version: 9.5.5 
Sprache: German 
Virus-Datenbank Datum: 11/16/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "schoeberl.e Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with wareout Adware (1.dat)! Action taken: Keine Aktion vorgenommen. 
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen. 
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen. 
 System found infected with medload Browser Hijacker (C:\WINDOWS\tempf.txt)! Action taken: Keine Aktion vorgenommen. 
 System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen. 
 System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
 Datei C:\WINDOWS\b.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\b.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\WINDOWS\1.dat 
 Offending file found: C:\WINDOWS\tempf.txt 
 Offending file found: C:\WINDOWS\system32\svkp.sys 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\magnet !!! 
 Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\winupdate !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b761a78c-0b7e-11dc-907e-00112fe048b8} !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd09e1c1-4a48-11dc-90a2-000000000000} !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileSigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileUnsigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\Emanuel\install\TomTom 6.0.2 For PPC - WM2003 and WM5.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 90653 
 Gefundene Viren: 12 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 86 
 Dauer des Scans bisher: 01:11:23 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 13:17:36,57 
Batchende: 13:17:42,03
         

Zitat:
Sagt dir diese Umleitung was:
Zitat:
address: Inode Telekommunikationsdienstleistungs GmbH
address: Technical Center
address: Shuttleworth Strasse 4-8 - Object 50
address: 1210 Vienna
address: Austria
ja das ist mein internetan bieter


hoffentlich hab ich alles richtig gemacht!
__________________

Alt 16.11.2007, 14:19   #4
Cleriker
 
iexplore.exe im hintergrund und office installation? - Standard

iexplore.exe im hintergrund und office installation?



Zitat:
hoffentlich hab ich alles richtig gemacht!
ja Super, so lobe ich mir das.

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Zitat:
Files to delete:
C:\WINDOWS\system32\xydzyh.exe
C:\WINDOWS\system\svchest.exe
C:\WINDOWS\b.exe
C:\WINDOWS\system32\svkp.sys
(nur wenn du nicht C&C-Renegade hast)
C:\WINDOWS\tempf.txt
bho.dll (bitte suchen)
C:\WINDOWS\1.dat
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

* CCleaner
- Lade dir den CCleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben
--> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

danach bitte ein neues hijackthis + escan + silentrunner
* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

mfg Cleriker

Alt 16.11.2007, 16:50   #5
paranoize
 
iexplore.exe im hintergrund und office installation? - Standard

iexplore.exe im hintergrund und office installation?



Avanger:

Code:
ATTFilter
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oxlgaare

*******************

Script file located at: \??\C:\Program Files\usydxqbb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\xydzyh.exe deleted successfully.
File C:\WINDOWS\system\svchest.exe deleted successfully.
File C:\WINDOWS\b.exe deleted successfully.
File C:\WINDOWS\system32\svkp.sys deleted successfully.
File C:\WINDOWS\tempf.txt deleted successfully.
File C:\WINDOWS\1.dat deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         
bho.dll hab ich nicht gefunden...

hijackthis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:40:29, on 16.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\DOKUME~1\***\LOKALE~1\Temp\mexe.com
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe start
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~2\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - 
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - 
O17 - HKLM\System\CCS\Services\Tcpip\..\{22A87F93-B875-450A-9029-4C7D3828F400}: NameServer = 192.168.10.254,192.168.10.1,195.58.161.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{258FD1BC-0545-44ED-A681-5D3BFC5D4D6F}: NameServer = 195.58.161.122,195.58.160.194
O17 - HKLM\System\CS1\Services\Tcpip\..\{22A87F93-B875-450A-9029-4C7D3828F400}: NameServer = 192.168.10.254,192.168.10.1,195.58.161.122
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe (file missing)
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4805 bytes
         


silentrunners:

Code:
ATTFilter
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"AVKTray" = ""C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"" ["G DATA Software AG"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
                                        \StubPath   = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
                                        \StubPath   = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "AcroIEHlprObj Class"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
  -> {HKLM...CLSID} = "AlcoholShellEx"
                   \InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AxShlex.dll" ["Alcohol Soft Development Team"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{8932AEFE-9DB6-4f43-AFB2-5682F55E773A}" = "VPCHostCopyHook"
  -> {HKLM...CLSID} = "VPCHostCopyHook"
                   \InProcServer32\(Default) = "C:\Programme\Microsoft Virtual PC Trial\VPCShExH.DLL" [MS]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
  -> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
  -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}" = "SnagIt"
  -> {HKLM...CLSID} = "SnagIt"
                   \InProcServer32\(Default) = "C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll" ["TechSmith Corporation"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
  -> {HKLM...CLSID} = "Meine freigegebenen Ordner"
                   \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager"
  -> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
                   \InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"]
"{0561EC90-CE54-4f0c-9C55-E226110A740C}" = "Haali Column Provider"
  -> {HKLM...CLSID} = "Haali Column Provider"
                   \InProcServer32\(Default) = "C:\Programme\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
"{5574006C-28F5-4a65-A28C-74DE6BFBE0BB}" = "Haali Matroska Shell Property Page"
  -> {HKLM...CLSID} = "Haali Matroska Shell Property Page"
                   \InProcServer32\(Default) = "C:\Programme\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
"{327669A0-59A7-4be9-B99E-1C9F3A57611A}" = "Haali Matroska Thumbnail Extractor"
  -> {HKLM...CLSID} = "Haali Matroska Thumbnail Extractor"
                   \InProcServer32\(Default) = "C:\Programme\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Userinit" = "C:\WINDOWS\system32\userinit.exe,rundll32.exe start" [MS], [MS], [file not found]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = "Haali Column Provider"
  -> {HKLM...CLSID} = "Haali Column Provider"
                   \InProcServer32\(Default) = "C:\Programme\Haali\MatroskaSplitter\mmfinfo.dll" [null data]
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
  -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
  -> {HKLM...CLSID} = "AVK9ContextMenue"
                   \InProcServer32\(Default) = "C:\Programme\G DATA AntiVirenKit\AVK\ShellExt.dll" ["G DATA Software AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
  -> {HKLM...CLSID} = "AVK9ContextMenue"
                   \InProcServer32\(Default) = "C:\Programme\G DATA AntiVirenKit\AVK\ShellExt.dll" ["G DATA Software AG"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "none" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{57E91B47-F40A-11D1-B792-444553540000}\
"ButtonText" = "NetAnts"
"MenuText" = "&NetAnts"
"Exec" = "C:\PROGRA~1\NetAnts\NetAnts.exe" [" "]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
  -> {HKLM...CLSID} = "Spybot-S&D IE Protection"
                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AVK Service, AVKService, "C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe" ["G DATA Software AG"]
AVK Wächter, AVKWCtl, "C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe" ["G DATA Software AG"]
AVKProxy, AVKProxy, ""C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"" ["G DATA Software AG"]
nTune Service, nTuneService, "C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe /StartService" ["NVIDIA"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon CAPT Port\Driver = "CNAP1NP.DLL" ["CANON INC."]


---------- (launch time: 2007-11-16 16:14:35)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 112 seconds, including 18 seconds for message boxes)
         
escan ist immernoch am suchn... kann sich nur noch um stunden handeln ...

logfile bis jetzt :

Code:
ATTFilter
m~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL 
    
eScan Version: 9.5.5 
Sprache: German 
C:\DOKUME~1\***\LOKALE~1\Temp\MWAV.LOG
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "schoeberl.e Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen. 
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen. 
 System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\magnet !!! 
 Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\winupdate !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b761a78c-0b7e-11dc-907e-00112fe048b8} !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd09e1c1-4a48-11dc-90a2-000000000000} !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Aktiviert 
 Überprüfung aller Festplatten :Deaktiviert 
 
Batchstart: 16:35:05,01 
Batchende: 16:44:32,31
         
virusprotokoll von escan: (keine ahnung ob das hilfreich ist)

Code:
ATTFilter
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "schoeberl.e Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "euniverse/keenvalue variant Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "euniverse/keenvalue variant Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "shangxing BackDoor" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\GAME_UNO1.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\USDR6_0001_D08M0404NetInstaller.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" verweist auf das ungültige Objekt "C:\WINDOWS\Downloaded Program Files\ZIntro.ocx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
         


Alt 16.11.2007, 17:09   #6
Cleriker
 
iexplore.exe im hintergrund und office installation? - Standard

iexplore.exe im hintergrund und office installation?



* HijackThis - Fix Cecked
- Wechsel in den abgesicherten Modus (beim Booten F8 drücken)
- Führe deine Hijackthis.exe - Datei aus
(bestätige die eventuelle Warnung mit "ok")
- Wähle die Option "Do only a System Scan"
- Setze bei folgenden Einträgen links im Kästchen einen Haken
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe start
O23 - Service: Indexing Helps (Indexingbox) - Unknown owner - C:\WINDOWS\system\svchest.exe (file missing)
- Scrolle nach unten und klicke auf "Fix checked"
- Neustart in den Normalmodus

Der Rest mit escan kommt dann am Montag. Ich bin im
Weekend. Schönes Wochenende bye

mfg Cleriker

Alt 16.11.2007, 17:28   #7
paranoize
 
iexplore.exe im hintergrund und office installation? - Standard

iexplore.exe im hintergrund und office installation?



ok dann schonmal vielen dank und schönes wochenende

Alt 19.11.2007, 09:21   #8
Cleriker
 
iexplore.exe im hintergrund und office installation? - Standard

iexplore.exe im hintergrund und office installation?



Morgen,

Zitat:
logfile bis jetzt :
mit escan am Montag dachte ich eigentlich daran,
dass ich nun deine komplette Auswertung bekomme.
Poste das gesamte find.bat - Protokoll.

mfg Cleriker

Alt 21.11.2007, 13:36   #9
paranoize
 
iexplore.exe im hintergrund und office installation? - Standard

iexplore.exe im hintergrund und office installation?



hi!

sorry ich musste leider am freitag den scan abbrechn und hatte die tage leider keine zeit für einen neuen...

hier nun die komplette auswertung:

Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL 
    
eScan Version: 9.5.5 
Sprache: German 
Virus-Datenbank Datum: 11/16/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "schoeberl.e Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen. 
 System found infected with euniverse/keenvalue variant Spyware/Adware (bho.dll)! Action taken: Keine Aktion vorgenommen. 
 System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0005976.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0007077.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0007105.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0007106.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0007129.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0007133.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0007136.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0009953.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010006.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010012.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010013.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010014.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010022.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010024.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010026.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei H:\usb platte\Uri\LOSTFILE\UT2003\A0010027.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken. 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\magnet !!! 
 Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\winupdate !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{b761a78c-0b7e-11dc-907e-00112fe048b8} !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{dc18939c-7ab6-11d9-930b-806d6172696f} !!! 
 Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fd09e1c1-4a48-11dc-90a2-000000000000} !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileSigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobileUnsigned.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\Emanuel\install\TomTom 6.0.2 For PPC - WM2003 and WM5.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\uri alte platte\Hansjoerg\Downloads\Software\Telefon - Softw\Nokia\USPU\Universal SP Unlocker v5.01 Update.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Linux\dvb-treiber\linux-dvb.2003-11-08\doc\dvbapi\bibsection.sty nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Linux\dvb-treiber\linux-dvb.2003-11-08\include\linux\em8300.h nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Toshiba_NB_Hj\pwrsav-sp2100-xp-50900-ge\TPwrReg.$$$ nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Toshiba_NB_Hj\toshiba\Display Driver\generic.tvp nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\DigiMate II\Drivers\Windows 2000\readme.txt nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\ATI driver\2KXP_INF\B_19534\ati2cqag.dl_ nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\i-o.bas nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\Nvidia\Win2KXP\61.77\Advanced.tv_ nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\LAN\DIAG.TXT nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\LAN\NWSERVER.42\README.TXT nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\LAN\NWSERVER.60\README.TXT nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\LAN\WINXP\README.TXT nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\Modem\WinXP\INFCACHE.1 nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\VGA\Win2k&XP\agp\DATA1.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\Treiber\Drivers\PnPDrvrs\VGA\Win2k&XP\agp\TITLE.BMP nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\TV_Karten\Haupauge_WinTV_Nova-S\dvb218c\software\Base\Html\EPGLng.js nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\TV_Karten\Haupauge_WinTV_Nova-S\dvb218c\software\Base\VideoText\vt_main_l.htm nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\TV_Karten\Haupauge_WinTV_Nova-S\nova-pci218c\software\Base\Help\DE\images\tv_layout.png nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\treiber\TV_Karten\Haupauge_WinTV_Nova-S\nova-pci218c\software\Base\Html\EPGLng.js nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\UT2003\A0005900.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\LOSTFILE\UT2003\A0005979.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\3DXWD\3DXWD.WRI nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\Emulatoren\MSX\Msx_collection_2.0(xd)4360roms_by_aatila2\msx_collection_2.0(xd)4360roms_by_aatila2\msx_collection_2.0_by_atila2(xd).txt nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\Emulatoren\MSX\Msx_collection_2.0(xd)4360roms_by_aatila2\msx_collection_2.0(xd)4360roms_by_aatila2\RuMSX\ROM\ACROJET.ROM nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\Emulatoren\MSX\Msx_collection_2.0(xd)4360roms_by_aatila2\msx_collection_2.0(xd)4360roms_by_aatila2\RuMSX\ROM\Athletic Ball (1984) (Ascii) (J).rom nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\Emulatoren\MSX\Msx_collection_2.0(xd)4360roms_by_aatila2\msx_collection_2.0(xd)4360roms_by_aatila2\RuMSX\ROM\Backgammon (1984) (Sony) (J).rom nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\unreal\alte hd\UnrealTournament\Cache\D77E0E3B4552391CF3623A88EA5C3D76.uxx nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\unreal\alte hd\UnrealTournament\System\IpServer.u nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\unreal\alte hd\UnrealTournament\System\UWeb.u nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\unreal\UnrealTournament\System\Core.u nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\unreal\UnrealTournament\System\Editor.int nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\unreal\UnrealTournament\System\Engine.int nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\unreal\UnrealTournament\System\relics.int nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\AngelFire.int nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\GamePlay.int nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\IpDrv.int nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\Loaded.u nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\UnrealGame.est nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\XAdmin.int nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\XGame.est nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\UT2003\Level\System\XMaps.est nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\UT2003\Server\linux\konfig\Default2.txt nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
 H:\usb platte\Uri\Spiele\unreal\UT2003\UT2003-BonusPack\System\BonusPack.est nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 124921 
 Gefundene Viren: 25 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 89 
 Dauer des Scans bisher: 09:39:41 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 13:27:03,45 
Batchende: 13:27:32,65
         

Alt 21.11.2007, 14:01   #10
Cleriker
 
iexplore.exe im hintergrund und office installation? - Standard

iexplore.exe im hintergrund und office installation?



Zitat:
H:\usb platte\Uri\LOSTFILE\UT2003\A....
Ich weiß nicht was du damit vor hast. Ich weiß auch nicht
genau, welche Auswirkungen diese Dateien haben, aber
ganz koscher kommen mir die UnrealTournemant-Dateien
nicht vor. Vielleicht kannst du mir da weiter helfen. Ansonsten
ist dein Log sauber. Hast du denn noch die Probleme?

Edit:
Zitat:
Dauer des Scans bisher: 09:39:41
Respekt, so viel Geduld haben die wenigsten.

mfg Cleriker

Alt 21.11.2007, 14:40   #11
paranoize
 
iexplore.exe im hintergrund und office installation? - Standard

iexplore.exe im hintergrund und office installation?



die datein sind irgend ein backup von meinem bruder... bald wieder gelöscht ...

probleme hab ich eigentlich keine mehr aber mir kommts n bisschen komisch vor dass escan 13? viren angezeigt hat... 9 davon hat er gleich am anfang von der c platte gefunden?!

naja wenn ich eh am schlafen bin und danach gleich zur arbeit muss isses mir egal wie lang mein computer braucht ...

Alt 21.11.2007, 16:17   #12
Cleriker
 
iexplore.exe im hintergrund und office installation? - Standard

iexplore.exe im hintergrund und office installation?



Sonst is der escan clean,
- Lauter Fehlalarme am Anfang,
- Laufwerk D ist wohl dein CD-ROM /DVD-Rom
- Scanfehler durch passwortgeschützes Nero

Antwort

Themen zu iexplore.exe im hintergrund und office installation?
ad-aware, bho, computer, cpu, desktop, einstellungen, firefox, g data, gdata, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, iexplore.exe, installation, internet, internet explorer, logfile, mehrere, mozilla, mozilla firefox, mozilla thunderbird, problem, prozess, registry, rundll, s-1-5-18, software, starten, trend micro, userinit.exe, windows, windows xp, ändern



Ähnliche Themen: iexplore.exe im hintergrund und office installation?


  1. Windows 8: Werbung im Browser/ unerwünschte Installation: Continue Live Installation
    Log-Analyse und Auswertung - 20.02.2015 (24)
  2. Win7 Umbenennung Chrome Browser, Installation Continue Live Installation
    Log-Analyse und Auswertung - 01.01.2015 (11)
  3. Bluescreen gegen Ende von Windows7 Installation, Abbruch der Installation
    Alles rund um Windows - 27.05.2014 (2)
  4. fehlerhafte Installation von Office 2013 (?)
    Alles rund um Windows - 02.01.2014 (5)
  5. Virus nach installation von "hdplugin_firefox.exe" - Office und andere Programme gelöscht?
    Plagegeister aller Art und deren Bekämpfung - 23.08.2013 (29)
  6. iexplore.exe läuft mehrfach im Hintergrund
    Plagegeister aller Art und deren Bekämpfung - 06.09.2012 (3)
  7. Internet iexplore.exe läuft einfach im Hintergrund
    Alles rund um Windows - 01.09.2012 (1)
  8. "Licensevalidator.exe" u.A. in den Anwendungsordnern - iexplore.exe startet im hintergrund.
    Plagegeister aller Art und deren Bekämpfung - 21.04.2012 (32)
  9. iexplore.exe startet im hintergrund und etwas sendet an 64.120.141.163
    Log-Analyse und Auswertung - 02.10.2011 (7)
  10. alte office (2003) dateien mit explorer oder win comander in office 2010 öffnen
    Alles rund um Windows - 06.08.2010 (10)
  11. iexplore.exe startet unerwünscht im Hintergrund, ruft dabei Seiten auf
    Log-Analyse und Auswertung - 13.07.2010 (2)
  12. iexplore.exe startet unaufgefordert und im Hintergrund automatisch!
    Log-Analyse und Auswertung - 09.07.2010 (10)
  13. iexplore.exe startet im hintergrund
    Log-Analyse und Auswertung - 03.07.2010 (9)
  14. office pc?
    Netzwerk und Hardware - 26.02.2010 (9)
  15. bei mir öffnen sich dauernd iexplore.exe im hintergrund
    Log-Analyse und Auswertung - 12.01.2009 (2)
  16. Open Office besser Als Office von Microsoft?
    Alles rund um Windows - 06.11.2007 (1)
  17. Fehlermeldung beim Öffnen von worddokume in office xp und office 2003
    Alles rund um Windows - 24.08.2006 (7)

Zum Thema iexplore.exe im hintergrund und office installation? - Guten Morgen! Habe das Problem dass sich sobald ich den Arbeitsplatz öffne im Hintergrund mehrere iexplore.exe öffnen. Das ist schonmal soweit gegangen dass sich über Nacht so viele geöffnet habn - iexplore.exe im hintergrund und office installation?...
Archiv
Du betrachtest: iexplore.exe im hintergrund und office installation? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.