habe mir heut ein programm geladen das wohl die dateien au_.exe und bu_.exe in den lokalen temp ordner (nsu.tmp) kopierte diese führten sich dann aus und blieben in der taskleiste, zonealarm meldete programm zugriff ausgehend und sperrte beide. habe danach den nsu.tmp ordner gelöscht und neu gestartet danach kam nix (auch kein neuer nsu.tmp ordner) mehr kein eintrag im task menü meine frage ist ist mein rechner nu befallen oder sauber? würd mich über hilfe freuen

ps: habe in mehreren foren gelesen das die beiden progs den trojaner spyfalcon laden ? zonealarm sperrte aber den zugriff heißt das kein laden von spyfalcon oder wie ist das nu

Hallöle.

Poste bitte ein HijackThis log. Anleitung gibt's im FAQ Bereich.

Logfile of HijackThis v1.99.1
Scan saved at 17:30:57, on 18.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\Explorer.EXE
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Programme\D-Link\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\D-Link\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\runservice.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\D-Link\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\D-Link\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\D-Link\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .pcg: C:\Programme\Internet Explorer\Plugins\nppcgplg.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197966550968
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB1A485C-992F-4209-AA38-55766D22E6EF}: NameServer = 213.191.74.18 62.109.123.196
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\D-Link\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


so da is sie =)

Updaten deinen I-Net Explorer bitte auf version 7. auch wenn du ihn nicht nutzt..

Dann führe bitte einen eScan durch. Anleitung gibt's in miener Signatur.

e-scan? hm hab mein system mit antivir und spybot gescannt und nix gefunden und der 6 ist mir lieber als der 7 ner um ehrlich zu sein kam der befall durch eigenverschulden und nicht durch ne browser lücke soweit ich weiß

Wenn du dich meinen Empfehlungen nicht anschließen magst. O.k.

ne das mit zone alarm war alles io mein kumpel ist informatiker der hat es mir mal erklärt mit dem zugriff naja aber wenn du sagst so ist alles io mit meinem system naja nu bin ich auch auf neuestem stand mit i explorer und win updates =P

aber danke für deine mühe respekt das manche leute sowas hier einfach so machen in der freizeit

der hat 11 trojaner viren und spyware gefunden juhuuu aber nochnicht mal ne löschen funktion hab nach fast 2 stunden abgebrochen

und jetzt les ich von einem moderator von HijackThis das escan schwachsinn ist da er viele fehlalarme auslöse um die verkaufszahlen anzukurbel was soll man da noch glauben schade naja

Zitat:

und jetzt les ich von einem moderator von HijackThis das escan schwachsinn ist da er viele fehlalarme auslöse um die verkaufszahlen anzukurbel

war das nicht zufällig ich??

Wir werten das log aus. Was eScan sagt ist schei* egal. Wir verwenden es als AnalyseTool.

ne das war jemand anderes aber die kommentare die meinen escan ist schei.... häufen sich =) so hier ist meine log file naja hab die einträge selbst rauskopiert

18 Feb 2008 20:28:01 => ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
18 Feb 2008 20:28:02 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Size: 343537].
18 Feb 2008 20:28:05 => Indexed Spyware Databases Successfully Created...

18 Feb 2008 20:28:17 => System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Maßnahme ergriffen.
18 Feb 2008 20:28:20 => Offending Key found: HKCR\magnet !!!
18 Feb 2008 20:28:20 => Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

18 Feb 2008 20:28:22 => Offending file found: C:\windows\gpinstall.exe
18 Feb 2008 20:28:22 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 20:28:24 => Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
18 Feb 2008 20:28:24 => Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

18 Feb 2008 20:28:49 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\eye of the beholder2\start.exe
18 Feb 2008 20:28:49 => System found infected with multipassrecover Spyware (start.exe)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 20:28:55 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\sttng\trans.exe
18 Feb 2008 20:28:55 => System found infected with addestroyer Spyware/Adware (trans.exe)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 20:29:03 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\eye of the beholder2\start.exe
18 Feb 2008 20:29:03 => System found infected with multipassrecover Spyware (start.exe)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 20:29:03 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\sttng\trans.exe
18 Feb 2008 20:29:03 => System found infected with addestroyer Spyware/Adware (trans.exe)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 20:29:03 => Offending file found: C:\windows\system32\unrar.dll
18 Feb 2008 20:29:03 => System found infected with savenow Adware (C:\windows\system32\unrar.dll)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 20:29:03 => Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll
18 Feb 2008 20:29:03 => System found infected with regsort Corrupted Adware/Spyware (hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 22:01:25 => Datei E:\Programme\Bethesda Softworks\Star Trek Legacy\patch_cb75d084b162f622db4613b2db7aeb67.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.


so das waren alle 11 die ich nach fast zwei stunden gefunden hab da war noch ne menge zu scannen aber alles spiele und filme das wichtigste die windows files hat er hab dann abgebrochen

achja und die 309 fehler von daten die nicht vorhanden sind nicht zu vergessen =) danke im vorraus

--------------------------------------------------------------------------------

hm das kann sein =) aber 3 stunden heut reichen =) die file hat 25 mb hab sie auf 1 mb gepackt =) kann das nicht posten zu gross und zip nimmt er nich hab das bei HijackThis on gleicher thread =)

Hier hängt das Log, die übliche Sammlung von Fehlalarmen und Meckereien wegen ungültiger Registry-Einträge, was aber nicht Aufgabe eines Virenscanners ist.