Also Hallo und entschuldigung erstmal,
Ich habe mich mit meinem Problem schon durch mehrere Boards gearbeitet, allerdings hab ich nirgendwo etwas nützliches gefunden, also melde ich mich mal in einem an, und hoffe direkt ein gutes erwischt zu haben ;D

Also, wenn ich meinen PC hochfahre kommt das Problem, das er arschlahm wird, sobald mein Internet aktiv ist (gehe über WLAN).
Aus spass an der Freud hab ich vor kurzem mal den Task-Manager geöffnet und gesehen, das der Iexplorer.exe mit 2 prozessen am laufen war, wobei ich diesen nicht ausgeführt hatte.
Der eine iexplorer.exe läuft relativ klein, also mit nur rund 10.000kb Speicherauslastung, der andere jedoch mit meist bis zu 140.000kb...
Naja ich habe den Prozess auf jeden Fall manuell beendet, dann wurde sofort ein neuer Aktiv der LISTON~1.exe heisst oder STORER~1.exe , zwischen den beiden wechselt es eigentlich immer.

Dies tut er aber nur einmal, somit ich den Prozess nochmal abbrechen muss, dann bleibt er aber auch weg (nach einiger Zeit baut er sich aber wieder auf).
dann bin ich mal auf die Idee gekommen nach den Dateien STORER~1.exe und LISTON~1.exe zu suchen, und habe sie auch gefunden, nämlich unter "C:\WINDOWS\Prefetch" , diese beiden manuell gelöscht und siehe da, nachdem ich den Prozess wieder beendet hatte, baute sich kein neuer mehr auf.

Ich hab gedacht alles in allem ganz gut gelaufen, musste jedoch feststellen das es das wohl nicht gewesen sein soll, da nach einem neustart den Computers derselbe fehler vorlag, auch wieder mit LISTON~1.exe und der anderen, also kann ich löschen so oft ich will, tauchen immer neu auf...mein Avira zeigt mir auch nichts an wenn ich es überprüfen lasse...Hilfe?
Wäre dankbar für jede Hilfe die ich bekommen kann (wenn nötig, erstelle ich ein HiJackThisLog)

Danke im Vorraus

Hi,

der prefetch-Ordner ist ein Ordner in dem Windows Informationen zu ausgeführten Dateien sammelt. Du hast also nicht die Datei selber, sondern nur Informationen zu der Datei gelöscht.

Die Dateien selbst sind wahrscheinlich versteckt.
Erstell daher bitte erstmal ein HijackThis log.

lg myrtille

Da bitteschön ;D und das mit dem prefetch ordner: so ein dreck ;D;D;D

Na sowas, da sind die Dateien nicht zu sehen.

Da brauchts wohl etwas ausführlichere Infos:
Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lang sind, dann häng sie bitte einfach an)

lg myrtille

uupppssss, sorry ;D...naja ich denk mal ich hänge besser an, denn sie sind in der tat etwas groß ^^
musste allerdings die log.txt in 2 trennen, da sie zu groß war ;D

Hi,

die Dateien die du gesehen hast gehören mit Swizzor, das ist ein "SponsorprogramM" von Messenger Plus. Hast du da über MSConfig etwas deaktiviert? Oder sonstwie verändert? Hat Antivir/Spyware Doctor in letzter Zeit etwas gefunden und bereinigt?

es sind noch Reste von verschiedenen Infektionen übrig.
Mach bitte einen Scan mit Malwarebytes und lass alle Funde löschen.

lg myrtille

SpywareDoc erst seit gerade drauf bzw. kurz vor dem Posting meiner logs ;D der mist dabei ist, er hat etwas gefunden, kann dies allerdings nicht löschen bzw. desinfizieren da ich mich dazu lizensieren lassen muss und das kostet $.$ deswegen wäre es super wenn du ein anti-spyware für nüchts hast d.h. kostenlos zur verfügung gestellt wird.
Und nein ich habe weder etwas deaktiviert oder verändert, wäre ja schön blöd da irgendwo rumzufuchteln wo ich keine ahnung von hab und wo mir keiner zur seite steht und mir sagt: "lass es besser" ;D
Komisch dabei find ich dann doch aber das die beiden prozesse nur auftauchen wenn ich den iexplorer.exe deaktiviere und das dieser überhaupt eine so hohe belastung darstellt, wenn es dich doch nur um ein sponsorenprog. handelt, wie man es beispielsweise von google kennt!

Hi,

das "Sponsorenprogramm" stand schon aus gutem Grund in Anführungszeichen. Das ist reine Adware, sprich sorgt für lustige Werbe-Popups wenn du im Netz bist, weswegen ich empfehlen würde Abstand von Messenger Plus zu nehmen.

Kostenlose Antispywareprogramme sind zum Beispiel Malwarebytes und SUPERAntiSpyware Beide bieten auch eine kostenpflichtige Version an, aber die kostenlosen Versionen sind ausreichend und in der Lage alles zu löschen.
(Weswegen ich von Malwarebytes gern das Log sehen möchte. )

lg myrtille

Also hab Malwarebytes mal drüberlaufen lassen hatte dann aber nach über einer std. :O keine lust mehr zu warten und hab erst mal gestoppt...16 funde, hier erst mal der bericht...
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1142
Windows 5.1.2600 Service Pack 2

12.09.2008 19:40:40
mbam-log-2008-09-12 (19-40-40).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 36092
Laufzeit: 1 hour(s), 5 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Schatzy\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für WinRAR.v3.70.GERMAN.Incl.Keymaker.And.Patch-CORE.zip\WinRAR.v3.70.GERMAN.Incl.Keymaker.And.Patch-CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Windows Live\Messenger\riched20.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.


Werde allerdings morgen nochmal komplett drüber laufen lassen und neu posten, hoffe damit ist dann evtl. das problem behoben...

P.S.: Überall dieses MyWebSearch...und irgendwie kommt es mir sogar bekannt vor (nachdenk) aber ich weiss leider nicht mehr woher ;D

Und nochwas, wolltest du ihn nur aus reiner interesse sehen? ;D kleiner spezi ne :P

Hi,

quickscan reicht vollkommen aus. Ich hatte eigentlich die (nicht unberechtigte) Hoffnung, das Malwarebytes schonmal das gröbste aufräumt.

lg myrtille

Also hier der vollständige Scan-Log:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1142
Windows 5.1.2600 Service Pack 2

13.09.2008 15:19:06
mbam-log-2008-09-13 (15-19-06).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|)
Durchsuchte Objekte: 86715
Laufzeit: 1 hour(s), 16 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 20
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWay) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{B4FAEFC1-6764-4BD7-9021-970AD7B5F194}\RP41\A0006389.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMe71df08e.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BMe71df08e.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.



Allerdings besteht das Problem weiterhin =( Hast du evtl. noch eine idee?

Auch wenn das Problem weiterhin besteht: Wir haben doch schon ne Menge ausm System rausgeholt.
Mach bitte hiermit weiter:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

und

ein FileListing mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille

EDIT: Link von muratgeg NICHT anklicken! Beiträge sind gemeldet und sollte gelöscht werden.

Ein kleines problem mit dem zweiten schritt...er lädt mir nichts runter sondern öffnet in meinem browser immer nur eine liste (natürlich versteh ich sie nicht ;D) und die ist auch nicht zu lang um hier zu posten, da sie kürzer ist als jedes HijackThis log was ich je gesehen hab o.o also das einfach zu dem anderen hinzukopieren?

Hi,

nein, bitte die Seite per Rechtsklick und "Speichern unter" abspeichern (es sollte den namen listing8.cmd vorschlagen) und dann wie in der Anleitung weiter vorgehen.

lg myrtille

Hier erstmal von Navilog:


Search Navipromo version 3.6.5 began on 13.09.2008 at 17:17:54,88

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Schatzy"

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Schatzy\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Schatzy\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Schatzy\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Schatzy\lokale~1\anwend~1" *

Files found :

ognvw.exe found !



*** Search files ***



*** Search specific Registry keys ***

HKEY_CURRENT_USER\Software\Lanconfig found !
HKEY_CURRENT_USER\Software\mc found !

*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Schatzy\lokale~1\anwend~1" :


3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :

C:\WINDOWS\system32\EgiPVvut.ini2 found ! Possible Vundo infection, not cleaned with this tool !


*** Search completed on 13.09.2008 at 17:28:16,39 ***


Und das vom Script (ich poste es einfach mal):


echo LISTING FILE von root24; 28.01.2008 > %temp%\listing.txt

echo "------ SYSTEMROOT ---" >> %temp%\listing.txt
%systemdrive%
cd\
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ SYSTEM32 ---" >> %temp%\listing.txt
cd %windir%
cd system32
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED INSTALLATIONS ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Installations"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ DOWNLOADED PROGRAM FILES ---" >> %temp%\listing.txt
cd %windir%
cd "Downloaded Program Files"
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ SYSTEM32-DRIVERS ---" >> %temp%\listing.txt
cd %windir%
cd system32
cd drivers
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PREFETCH ---" >> %temp%\listing.txt
cd %windir%
cd prefetch
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ TASKS ---" >> %temp%\listing.txt
cd %windir%
cd tasks
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR ---" >> %temp%\listing.txt
cd %windir%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDIR\SYSTEM ---" >> %temp%\listing.txt
cd system
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ WINDOWS\TEMP ---" >> %temp%\listing.txt
cd %windir%
cd temp
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ USER\TEMP ---" >> %temp%\listing.txt
cd %temp%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ PROGRAMS ---" >> %temp%\listing.txt
cd %programfiles%
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt


echo "------ ALLUSERS ---" >> %temp%\listing.txt
cd %allusersprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

echo "------ USERS ---" >> %temp%\listing.txt
cd %userprofile%
cd anwendungsdaten
dir /a:-d /o:-d >> %temp%\listing.txt
dir /a:d /o:-d >> %temp%\listing.txt

cd %temp%
copy /y listing.txt "%userprofile%"\desktop\listing.txt


Weitere Schritte?