Hi,

ZoneAlarm hat mir angezeigt, dass AU_.exe aufs Internet zugreifen wollte. Meine bisherige Recherche hinterlässt mich etwas ratlos, scheint so als würde nur das Posten meines HJT-Logfiles was nutzen.

Darüber hinaus funktionieren seit einiger Zeit meine CD/DVD Laufwerke nicht mehr richtig, dh ein Laufwerk lässt sich gar nicht öffnen ("Auf Laufwerk Y:/ kann nicht zugegriffen werden. Unzulässige Funktion") das Brenner Laufwerk lässt sich zwar öffnen zeigt aber nichts an, egal welche CD eingelegt ist.

Die beiden Laufwerke sind (ich weiß leider nicht welches welches ist):

LITE-ON LTR-321235

matshita sr-8587

Neuen Treiber installieren ändert nichts, der Gerätemanager zeigt an, dass beide Laufwerke betriebsbereit sind.

Besten Dank schon mal jetzt für eure Bemühungen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:42:58, on 21.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.rotefalken.at/new/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 255.255.255.0
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120498798219
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SecureSrv - Unknown owner - C:\Programme\Hide My IP 2007\SecureSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 5272 bytes

Hab noch was vergessen:
Ich wollte heute eine neue Version von Opera installieren und hab die folgende Fehlermeldung erhalten:
"Error 1327.Invalid Drive: D:\"

Meine Festplatte hat den Laufwerkbuchstaben C: und dort wo man über regedit eingeben wo Programme installiert werden sollen steht auch C:
(Sorry für die nicht fachkundige Ausdrucksweise, aber ich kenn mich leider nicht besser aus)

lg
fritz

Hi,

führe bitte zu deinem Operaproblem mal die angehängt batch aus.
Lass die au_,exe bitte mal bei virustotal auswerten.

lg myrtille

Hi,

ich hab Au_.exe überprüfen lassen. Da ich aber völliger Laie bin poste ich das Ergebnis (ich kann es nicht deuten).

Ich muss leider auch zugeben, dass ich nicht weiß was es heißt das angehängte Batch auszuführen *schäm*

Ich hab es mal runtergeladen und doppelgeklickt. Reicht das?

lg
fritz

Ergebnis von virus total:

Ergebnis: 0/36 (0%)
weitere Informationen
File size: 40634 bytes
MD5...: 1314542c3cf5e5a73a1905259b5eef65
SHA1..: 77f5e446372ae0f456db17a40226d81022bda169
SHA256: e01523f5c6a87d235b9d864c3f2c19d0a1729819cca59595c48e3a1955e6fec7
SHA512: 69d26961a119723882f09dc6b9c174fe34f32095098f1bb094067e9330f6a94d
957b2e2cb5d3a0ec3e108b4e3811a75f4676a8f5dddd5b92588b9cde6e4ea50e
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40325d
timedatestamp.....: 0x46fe4a19 (Sat Sep 29 12:50:33 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x595e 0x5a00 6.45 549d8849316b24f4ba1acca96ead5a5e
.rdata 0x7000 0x1190 0x1200 5.18 e94b80a02c09b2783fa2e58c169c11a2
.data 0x9000 0x1b038 0x400 5.05 3ef4d8835cb2d44a886e659e7005e38b
.ndata 0x25000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x2d000 0x6c8 0x800 2.77 e7d14252259b13e57ba1a7e6a217214e

( 8 imports )
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, CreateFileA, GetFileSize, GetModuleFileNameA, GetTickCount, GetCurrentProcess, CopyFileA, ExitProcess, SetFileTime, GetTempPathA, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetWindowsDirectoryA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, CreateDialogParamA, DestroyWindow, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=1314542c3cf5e5a73a1905259b5eef65

Genau Doppelklick. Danach sollte sich ein Fenster öffnen und dessen Inhalt bitte hier posten.

virustotal sagt uns immerhin schonmal, dass kein Virenscanner die Datei beanstandet. Wo liegt die Datei denn?

lg myrtille

Ich hab in der Zwischenzeit mal neu gestartet. Jetzt finde ich AU_.exe nicht mehr... Die war vorher in einem Ordner "temp", kann es sein, dass sie durch den Neustart gelöscht wurde?

Hier die Ergebnisse des Batch:


! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
AppData REG_EXPAND_SZ %USERPROFILE%\Anwendungsdaten
Desktop REG_EXPAND_SZ %USERPROFILE%\Desktop
Favorites REG_EXPAND_SZ %USERPROFILE%\Favoriten
NetHood REG_EXPAND_SZ %USERPROFILE%\Netzwerkumgebung
Personal REG_EXPAND_SZ %USERPROFILE%\Eigene Dateien
PrintHood REG_EXPAND_SZ %USERPROFILE%\Druckumgebung
Programs REG_EXPAND_SZ %USERPROFILE%\Startmenü\Programme
Recent REG_EXPAND_SZ %USERPROFILE%\Recent
SendTo REG_EXPAND_SZ %USERPROFILE%\SendTo
Start Menu REG_EXPAND_SZ %USERPROFILE%\Startmenü
Startup REG_EXPAND_SZ %USERPROFILE%\Startmenü\Programme\Autostart
Templates REG_EXPAND_SZ %USERPROFILE%\Vorlagen
Local Settings REG_EXPAND_SZ %USERPROFILE%\Lokale Einstellungen
Local AppData REG_EXPAND_SZ %USERPROFILE%\Lokale Einstellungen\Anwendungsdaten
My Pictures REG_SZ D:\Inhalt Eigene Dateien Comp Zuhause\Bilder
My Music REG_SZ D:\Inhalt Eigene Dateien Comp Zuhause\Musik
My Video REG_SZ D:\Inhalt Eigene Dateien Comp Zuhause\Videos
Cache REG_EXPAND_SZ %USERPROFILE%\Lokale Einstellungen\Temporary Internet Files
Cookies REG_EXPAND_SZ %USERPROFILE%\Cookies
History REG_EXPAND_SZ %USERPROFILE%\Lokale Einstellungen\Verlauf

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\New

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Common Desktop REG_EXPAND_SZ %ALLUSERSPROFILE%\Desktop
Common Start Menu REG_EXPAND_SZ %ALLUSERSPROFILE%\Startmenü
Common Programs REG_EXPAND_SZ %ALLUSERSPROFILE%\Startmenü\Programme
Common Startup REG_EXPAND_SZ %ALLUSERSPROFILE%\Startmenü\Programme\Autostart
Common AppData REG_EXPAND_SZ %ALLUSERSPROFILE%\Anwendungsdaten
Common Templates REG_EXPAND_SZ %ALLUSERSPROFILE%\Vorlagen
Common Favorites REG_EXPAND_SZ %ALLUSERSPROFILE%\Favoriten
Common Documents REG_EXPAND_SZ %ALLUSERSPROFILE%\Dokumente