Häufige Systemabstürze nach diversen Malwarefunden

Tina_und_Maenne · 28.02.2009, 02:34

Hallo Trojanerboarder,

mein Rechner stürzt in den letzten Tagen immer häufiger und für mich völlig unberechenbar ab.

Hier erstmal die Infos aus "msinfo32":

Code:

ATTFilter

Betriebssystemname    Microsoft Windows XP Professional
Version    5.1.2600 Service Pack 3 Build 2600
Betriebssystemhersteller    Microsoft Corporation
Systemname    ***
Systemhersteller    FUJITSU SIEMENS
Systemmodell    P5GD1-FM
Systemtyp    X86-basierter PC
Prozessor    x86 Family 15 Model 4 Stepping 1 GenuineIntel ~3591 Mhz
BIOS-Version/-Datum    American Megatrends Inc. 1004.001, 10.01.2005
SMBIOS-Version    2.3
Windows-Verzeichnis    C:\WINDOWS
Systemverzeichnis    C:\WINDOWS\system32
Startgerät    \Device\HarddiskVolume1
Gebietsschema    Deutschland
Hardwareabstraktionsebene    Version = "5.1.2600.5512 (xpsp.080413-2111)"
Benutzername    ***
Zeitzone    Westeuropäische Normalzeit
Gesamter realer Speicher    1.024,00 MB
Verfügbarer realer Speicher    381,10 MB
Gesamter virtueller Speicher    2,00 GB
Verfügbarer virtueller Speicher    1,96 GB
Größe der Auslagerungsdatei    2,91 GB
Auslagerungsdatei    D:\pagefile.sys

CCleaner hab ich durchgeführt.

Code:

ATTFilter

Hier die relevanten Reports von Malwarebytes-Anti-Malware:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1689
Windows 5.1.2600 Service Pack 3

24.01.2009 23:12:35
mbam-log-2009-01-24 (23-12-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 468093
Laufzeit: 2 hour(s), 32 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/uninst.bat (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Antispy (Rogue.AntiSpy) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Antispy\MicrosoftAntiSpywareInstall.exe (Rogue.AntiSpy) -> Quarantined and deleted successfully.
C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\explorer.ini (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

______________________________

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1792
Windows 5.1.2600 Service Pack 3

22.02.2009 13:28:39
mbam-log-2009-02-22 (13-28-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 492520
Laufzeit: 2 hour(s), 16 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.

______________________________


der heutige Report:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1809
Windows 5.1.2600 Service Pack 3

27.02.2009 19:08:08
mbam-log-2009-02-27 (19-08-08).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 471436
Laufzeit: 1 hour(s), 58 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

HJT Logfiles:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 01:48:10, on 28.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SSC Service Utility\ssc_serv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
C:\Programme\TimeLeft3\TimeLeft.exe
C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\ansyslmd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Flexlm\lmgrd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Flexlm\SW_D.EXE
C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\uglmd.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.local
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSC Service Utility] C:\Programme\SSC Service Utility\ssc_serv.exe /s
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
O4 - Startup: TimeLeft.lnk = C:\Programme\TimeLeft3\TimeLeft.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: h**p://player.eurosport.de
O15 - Trusted Zone: h**p://support.fujitsu-siemens.de
O15 - Trusted Zone: h**p://www.kaspersky.com
O15 - Trusted Zone: h**p://*.windowsupdate.microsoft.com
O15 - Trusted Zone: h**p://www.pandasecurity.com
O15 - Trusted Zone: h**p://as.photoprintit.de
O15 - Trusted Zone: h**p://fotoservice.schlecker.de
O15 - Trusted Zone: h**p://housecall65.trendmicro.com
O15 - Trusted Zone: h**p://download.windowsupdate.com
O15 - Trusted Zone: h**p://*.windowsupdate.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138476530359
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - h**p://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - h**p://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - h**p://www.commandondemand.com/eval/cod/cabs/cssweb.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4484/mcfscan.cab
O20 - Winlogon Notify: LBTWlgn - c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ANSYS FLEXlm license manager - Macrovision Corporation - C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ITI Quantity Service - ITI GmbH - C:\Programme\ITI-Software\SimulationX 2.0\QuantityService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SolidWorks SolidNetWork License Manager - Macrovision Corporation - C:\Programme\Flexlm\lmgrd.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Unigraphics License Server (uglmd) - Macrovision Corporation - C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe

Teil 2 folgt, der Text war zu lange...

Tina_und_Maenne · 28.02.2009, 02:37

Online Scans waren nicht durchführbar. Entweder wurde der IE einfach geschlossen nach wenigen Minuten (bei Panda) oder der Rechner stürzte nach spätestens 30 Minuten wieder ab.

________________________

Beim Neustart erscheint seit einigen Tagen ein Meldung von Spybot:

Kategorie: Session Manager
Änderung: Wert geändert
Eintrag: Boot Execute
Alte Daten: autocheck autochk*\SsiEfre.e
Neue Daten: autocheck autochk*\SsiEfre.e\lsdelete\

Da mir das nichts sagt, hab ich das bisher immer verweigert.

Antivir hat heute nichts gefunden.

allerdings in früheren Scans.
hier die Funde:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 8. Februar 2009  01:19

Es wird nach 1322990 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 3)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     Christina
Computername:     BLAUBAER

Versionsinformationen:
BUILD.DAT     : 8.2.0.337      16934 Bytes  18.11.2008 13:01:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  26.11.2008 07:41:04
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  18.07.2008 04:19:25
LUKE.DLL      : 8.1.4.5       164097 Bytes  18.07.2008 04:19:26
LUKERES.DLL   : 8.1.4.0        12545 Bytes  18.07.2008 04:19:26
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 00:56:57
ANTIVIR1.VDF  : 7.1.1.113    2817536 Bytes  14.01.2009 13:12:13
ANTIVIR2.VDF  : 7.1.1.207    1359360 Bytes  30.01.2009 13:16:09
ANTIVIR3.VDF  : 7.1.1.239     314880 Bytes  06.02.2009 13:12:34
Engineversion : 8.2.0.76 
AEVDF.DLL     : 8.1.1.0       106868 Bytes  31.01.2009 13:16:27
AESCRIPT.DLL  : 8.1.1.43      344442 Bytes  07.02.2009 13:12:36
AESCN.DLL     : 8.1.1.6       127348 Bytes  31.01.2009 13:16:23
AERDL.DLL     : 8.1.1.3       438645 Bytes  07.11.2008 07:36:40
AEPACK.DLL    : 8.1.3.8       397684 Bytes  05.02.2009 13:12:35
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  12.12.2008 07:40:22
AEHEUR.DLL    : 8.1.0.90     1573237 Bytes  05.02.2009 13:12:34
AEHELP.DLL    : 8.1.2.0       119159 Bytes  19.11.2008 07:38:08
AEGEN.DLL     : 8.1.1.14      332148 Bytes  07.02.2009 13:12:35
AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 13:58:39
AECORE.DLL    : 8.1.6.4       176501 Bytes  02.02.2009 23:20:42
AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 13:58:38
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  18.07.2008 04:19:25
AVPREF.DLL    : 8.0.2.0        38657 Bytes  18.07.2008 04:19:25
AVREP.DLL     : 8.0.0.2        98344 Bytes  01.08.2008 06:37:27
AVREG.DLL     : 8.0.0.1        33537 Bytes  18.07.2008 04:19:25
AVARKT.DLL    : 1.0.0.23      307457 Bytes  14.04.2008 22:14:33
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  18.07.2008 04:19:25
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  14.04.2008 22:14:36
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  18.07.2008 04:19:26
NETNT.DLL     : 8.0.0.1         7937 Bytes  14.04.2008 22:14:36
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  18.07.2008 04:19:22
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  18.07.2008 04:19:22

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: quarantäne
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Dateierweiterungsliste verwenden
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus

Beginn des Suchlaufs: Sonntag, 8. Februar 2009  01:19

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'uglmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lmgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SW_D.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lmgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TimeLeft.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SPUVolumeWatcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'thunderbird.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spamihilator.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ewidoctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ansyslmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehRecvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLacsd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lmgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ssc_serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PRISMSTA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOLDial.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '52' Prozesse mit '52' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD6
    [INFO]      Es wurde kein Virus gefunden!
    [WARNUNG]   Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '72' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Festplatte C>
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Festplatte D>
D:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
D:\Downloads\MatLab\MATLab2006b\MATHWORKS Matlab 2006b CD1\ACME\matlab_kg.exe
    [FUND]      Ist das Trojanische Pferd TR/Horse.BYC
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a02347a.qua' verschoben!


Ende des Suchlaufs: Sonntag, 8. Februar 2009  02:32
Benötigte Zeit:  1:13:00 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  29485 Verzeichnisse wurden überprüft
 668625 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 668622 Dateien ohne Befall
   3602 Archive wurden durchsucht
      7 Warnungen
      1 Hinweise

_________________

Meldungen des Guard:

23.2.2009
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\31ap6sxt.default\Cache\4FCC3BF3d01'
wurde ein Virus oder unerwünschtes Programm 'HTML/Crypted.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei löschen


vom 22.2.2009
ie Datei 'C:\System Volume Information\_restore{9105577E-8465-42FE-BBF0-8F7EA6116322}\RP1242\A0365144.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49d3a276.qua' verschoben!

Ich hoffe ich habe alles richtig erledigt. Schon beim Sammeln dieser Daten ist der Rechner sicher 5 mal abgestürzt.
Falls ich was überlesen oder falsch gemacht habe bitte ich um Entschuldigung. Ich komme kaum zum Nachlesen auf Eurem Board, weil der PC dauernd neu hochfährt.

Danke im Voraus!!!

Christina

myrtille · 28.02.2009, 03:07

Hi,

stelle bitte mal folgende Einträge aus der Quarantäne von Malwarebytes wieder her:

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\MDM.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.

Es gab vor ein paar Tagen einen Fehlalarm und es könnte sich um eine legitime Windowsdatei handeln.

Zitat:

D:\Downloads\MatLab\MATLab2006b\MATHWORKS Matlab 2006b CD1\ACME\matlab_kg.exe

Finger weg von Keygens!

Erstens ist es unmoralisch, zweitens gefährlich.

Für die allermeisten Dinge reichen dann auch Alternativen, mit denen man kostenlose rechnen kann.
Wer meint sein Leben hänge vom Besitz dieser Software ab, sollte sie sich kaufen.

Zitat:

Beim Neustart erscheint seit einigen Tagen ein Meldung von Spybot:

Kategorie: Session Manager
Änderung: Wert geändert
Eintrag: Boot Execute
Alte Daten: autocheck autochk*\SsiEfre.e
Neue Daten: autocheck autochk*\SsiEfre.e\lsdelete\

Da mir das nichts sagt, hab ich das bisher immer verweigert.

Spybot blockiert die Installation von Ad-Aware. Der TeaTimer ist sinnlos, die Hälfte der Zeit weiß der Betroffene nicht was er tun soll, die andere Hälfte übersieht TeaTimer die Änderungen.

Am besten Ad-Aware und Spybot deinstallieren und gelegentlich mit Malwarebytes oder SUPERAntiSpyware scannen.

lg myrtille

Tina_und_Maenne · 28.02.2009, 03:26

Hi myrtille,

danke für die schnelle Antwort zu später Stunde!

Zitat:

Zitat von myrtille

stelle bitte mal folgende Einträge aus der Quarantäne von Malwarebytes wieder her:

Es gab vor ein paar Tagen einen Fehlalarm und es könnte sich um eine legitime Windowsdatei handeln.

Wenn ich auf die Quarantäne von Malwarebytes klicke ist da nichts zu sehen.
Hab ich das in meinem Reinigungswahn fälschlicherweise löschen können?
Bzw. kann es sein, dass da was Wichtiges falsch erkannt und gelöscht wurde?

Zitat:

Zitat von myrtille

Finger weg von Keygens!

Erstens ist es unmoralisch, zweitens gefährlich.

Für die allermeisten Dinge reichen dann auch Alternativen, mit denen man kostenlose rechnen kann.
Wer meint sein Leben hänge vom Besitz dieser Software ab, sollte sie sich kaufen.

Dein Wort in meines Gatten Ohr!!!

Wir hatten ein ähhh... Gespräch darüber und ich bin mir ziemlich sicher, dass sowas nicht mehr auf unserem Rechner landet.

Immerhin darf ich mir jetzt die Tage und Nächte um die Ohren schlagen mit der Beseitigung von diesem Mist!

Zitat:

Zitat von myrtille

Spybot blockiert die Installation von Ad-Aware. Der TeaTimer ist sinnlos, die Hälfte der Zeit weiß der Betroffene nicht was er tun soll, die andere Hälfte übersieht TeaTimer die Änderungen.

Ich hatte den Teatimer eigentlich abgestellt, aber das hat wohl nicht nachhaltig funktioniert.

Zitat:

Zitat von myrtille

Am besten Ad-Aware und Spybot deinstallieren und gelegentlich mit Malwarebytes oder SUPERAntiSpyware scannen.

Ok, wenn Du das empfiehlst, schmeiß ich sie wieder runter.
Und mach mich erstmal schlau, was SUPERAntiSpyware ist...

myrtille · 28.02.2009, 03:33

Hi,

hast du die Quarantäne selbst geleert? Wenn ja wär das ärgerlich.

Hast du die Windows-CD greifbar? Wenn ja, diese bitte einlegen, dann unter start ->ausführen -> sfc /scannow eingeben. (auf das leerzeichen achten).
Dann sollten alle Windowsdatein geprüft und fehlende ersetzt werden.

lg myrtille
EDIT: und gute nacht.

Tina_und_Maenne · 28.02.2009, 03:44

CD verträgt er überhaupt nicht gerade, da schmiert er sofort ab.

Naja, vielleicht gehts ja morgen weiter...

danke nochmal und gute Nacht!

Tina_und_Maenne · 28.02.2009, 03:51

Nachtrag:
Vor ca. 1 Woche hat HJT immer Einträge dieser Art produziert mit verschiedenen DeletingD**** Nummern. Alle fanden sich unter 04-Einträgen.

O4 - HKCU\..\RunOnce: [SpybotDeletingD8459] cmd /c del "C:\WINDOWS\SchedLgU.Txt"

Ich hab das gefixt. Hoffentlich kein Fehler?!
Aber vielleicht sagt Euch das noch mehr, wer da wütet im System.

myrtille · 28.02.2009, 11:53

Da wütet ganz offensichtlich SpyBot.

Das wäre dann SpyBot wie er versucht Windowsdateien zu löschen:
Die SchedLgu.txt gehört zum Taskplaner: Link
(und ist nicht lebenswichtig, daher wird die wohl von SpyBot S&D gern gelöscht.)

Habt ihr auf dem Rechner bereits MS-Updates installiert? Gibt es einen Ordner c:\Windows\ServicePackFiles \i386 oder C:\i386 bei deinem Rechner?
Wenn ja besteht die Chance, dass sich dort ein Backup der MDM.exe befindet. Gib dann unter Start->ausführen->cmd ein.
Es öffnet sich die Kommandozeile. Gib dort
expand C:\i386\mdm.ex_ C:\windows\system32\mdm.exe
bzw
expand C:\Windows\ServicePackFiles\i386\mdm.ex_ C:\windows\system32\mdm.exe je nachdem welchen Ordner du hast.
Theoretisch würde das auch von deiner Windows-CD aus gehen:
expand [Laufwerksbuchsabe de CD]:\i386\mdm.ex_ C:\windows\system32\mdm.exe

lg myrtille.

ordell1234 · 28.02.2009, 11:57

Die Malware-Sachen überlasse ich mal myrtille, aber suche unter c:\minidump nach einer Datei mini*.dmp. Wenn du was findest, hänge sie bitte hier mit ran oder lade sie bei http://www.file-upload.net hoch.

Tina_und_Maenne · 28.02.2009, 12:56

Zitat:

Zitat von myrtille

Da wütet ganz offensichtlich SpyBot.

Ich hab Spybot inzwischen rausgeschmissen.

Zitat:

Zitat von myrtille

Habt ihr auf dem Rechner bereits MS-Updates installiert? Gibt es einen Ordner c:\Windows\ServicePackFiles \i386 oder C:\i386 bei deinem Rechner?
Wenn ja besteht die Chance, dass sich dort ein Backup der MDM.exe befindet. Gib dann unter Start->ausführen->cmd ein.
Es öffnet sich die Kommandozeile. Gib dort
expand C:\i386\mdm.ex_ C:\windows\system32\mdm.exe
bzw
expand C:\Windows\ServicePackFiles\i386\mdm.ex_ C:\windows\system32\mdm.exe je nachdem welchen Ordner du hast.

Ja, es gibt diesen Ordner i386 unter ServicePackFiles.
Das Fenster, das sich nach "cmd" öffnet sieht aus wie ein Dos-Fenster. Da steht dann schon drin:

C:\Dokumente und Einstellungen\***>

Soll ich dahinter diese Zeile eintragen, oder was soll da genau stehen?

@DaleCooper:

Danke auch Dir für Deine Antwort

Ich finde leider (oder Gott sei Dank?) nirgends C:\minidump

Tina_und_Maenne · 28.02.2009, 13:18

Nachtrag:

Ich hab das von Dir empfohlene SAS runtergeladen und laufenlassen und Folgendes hat er gefunden:

Code:

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/28/2009 at 01:03 PM

Application Version : 4.25.1014

Core Rules Database Version : 3779
Trace Rules Database Version: 1738

Scan type       : Complete Scan
Total Scan Time : 01:20:21

Memory items scanned      : 499
Memory threats detected   : 0
Registry items scanned    : 8051
Registry threats detected : 0
File items scanned        : 51261
File threats detected     : 1

Unclassified.Monitor/ActualSpy
    C:\PROGRAMME\MOTORRAD TOURENPLANER 2005 2006\PROG\SUPPORT\MGGCHECK\MGGSTR32.DLL

_____________________

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/28/2009 at 05:56 AM

Application Version : 4.25.1014

Core Rules Database Version : 3779
Trace Rules Database Version: 1738

Scan type       : Quick Scan
Total Scan Time : 00:28:25

Memory items scanned      : 478
Memory threats detected   : 0
Registry items scanned    : 550
Registry threats detected : 0
File items scanned        : 22993
File threats detected     : 1

Trojan.Downloader-Gen/Suspicious
    C:\RECOVER\SYSPREP\SFTRUN.EXE

lG,
Christina

myrtille · 28.02.2009, 13:42

Hi,

lass die beiden Dateien:

Zitat:

C:\RECOVER\SYSPREP\SFTRUN.EXE
C:\PROGRAMME\MOTORRAD TOURENPLANER 2005 2006\PROG\SUPPORT\MGGCHECK\MGGSTR32.DLL

bitte bei virustotal auswerten und poste das Ergebnis hier.

Das in dem Dosfenster etwas erscheint ist normal, einfach dahinter schreiben.

lg myrtille

Tina_und_Maenne · 28.02.2009, 14:15

Hallo myrtille,

leider bin ich nicht sehr erfolgreich in der Umsetzung Deiner Anweisungen.
Nach Eingabe des Befehls erscheint folgende Meldung:

Fehler beim Öffnen der Eingabedatei: expand C:\Windows\ServicePackFiles\i386\mdm.ex_ C:\windows\system32\mdm.exe

Die Dateien, die ich scannen lassen soll, existieren angeblich nicht. Zu der SFTRUN.EXE existiert nur eine Textdatei und beim Tourenplaner gibt es nur dlls mit folgendem Namen:
....\borlandmm.dll
....\OLEDBPRV.DLL

Zudem stürzt der Rechner gerade in einer Frequenz ab, dass ich kaum zum Posten hier komme.

Hoffentlich krieg ich das noch eingestellt gleich, ich schreib das alles erstmal im Thunderbird und speichere dauernd, damit ich überhaupt eine Chance hab.
Vielleicht hab ich ja auch ein Hardware-Problem???

Danke für Deine Hilfe!

lg,
Christina

myrtille · 28.02.2009, 14:30

Hi,

und von der Windows-CD aus kann das nicht klappen?
Habt ihr einen anderen XP-Rechner von dem ihr die MDM.exe rüberkopieren könntet? Vielleicht würde das auch gehen.

Hardware kann natürlich auch sein. Friert der Rechner ein oder stürzt er mit einem BSOD ab? Wenn BSOD, dann poste mal bitte einige der Fehlercodes, damit man sich ein Bild machen kann.

Hast du die von SUPERAntiSpyware gefundenen Dateien löschen lassen? (Dann wäre es normal, dass du ise nicht mehr findest.

)

lg myrtille

Tina_und_Maenne · 28.02.2009, 15:36

Hi myrtille

Zitat:

Zitat von myrtille

Hi,

und von der Windows-CD aus kann das nicht klappen?

Ich hab die CD mittlerweile gefunden, es wird auch gemeldet, dass urprüngliche Dateien durch unbekannte ersetzt wurden und dass ich die CD mit dem SP 3 einlegen soll.
Das hab ich jetzt also nochmal runtergeladen, da ich nicht weiß, ob ich eine solche CD habe und hab das gebrannt.
Damit kann Windows aber offensichtlich nicht anfangen. Es wird gemeldet, es sei die falsche CD.

Zitat:

Zitat von myrtille

Habt ihr einen anderen XP-Rechner von dem ihr die MDM.exe rüberkopieren könntet? Vielleicht würde das auch gehen.

Es gibt noch ein Laptop, da komm ich erst morgen wieder dran.
Das könnte ich versuchen und werde das auch tun, wenn ich (s.o.) nicht weiterkomme.

Zitat:

Zitat von myrtille

Hardware kann natürlich auch sein. Friert der Rechner ein oder stürzt er mit einem BSOD ab? Wenn BSOD, dann poste mal bitte einige der Fehlercodes, damit man sich ein Bild machen kann.

Gestern nacht ist er mal mit Bluescreen abgestürzt. Heute fährt er sich einfach immer wieder hoch.
Eingefroren ist er vor ca. einer Woche dauernd.
Er kann also alles!

Wenn er nochmal mit Bluescreen abstürzt, poste ich die Fehlercodes.

Zitat:

Zitat von myrtille

Hast du die von SUPERAntiSpyware gefundenen Dateien löschen lassen? (Dann wäre es normal, dass du ise nicht mehr findest.

)

*hüstel*... das halte ich nicht für ausgeschlossen. Ich habe einfach auf weitergeklickt mit dem, was mir das Programm empfohlen hat.

lg,
Christina

Häufige Systemabstürze nach diversen Malwarefunden

Plagegeister aller Art und deren Bekämpfung: Häufige Systemabstürze nach diversen Malwarefunden