Mit dem Banker habe ich mich geirrt. Funktioniert dein Sound noch? Checke das bitte, falls nicht, dann stellen wir den Eintrag wieder her.

Die Warnmeldungen haben nichts zu bedeuten.

Schau mal mit dem Windowsexplorer in den Ordner C:\Windows. Alle Bilder (*.bmp) mit Ausnahme von winnt256.bmp und winnt.bmp können gelöscht werden, falls du sie nicht brauchst.

Du hast drei verschiedene Anmeldekonten. Wozu?

1.) Deinstalliere (falls möglich):

• Avenger
• Gmer
• Fixwareout
• Navilog
• Adobe Reader 7.0.8 - Deutsch
• Avira AntiVir Personal - Free Antivirus
• Google Toolbar for Internet Explorer
• Google Updater
• ICQ Toolbar
• ICQ6
• J2SE Runtime Environment 5.0 Update 6
• MSN Suche Toolbar
• Norton Internet Security
• Norton Protection Center
• PDFCreator Toolbar
• Yahoo! Toolbar

2.) Download und Ausführung des Norton-Entfernungsprogramms

3.) Entferne Javareste mit SourceForge.net: JavaRa: Downloading ...

4.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
Automatisches LiveUpdate - Scheduler

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"=-

File::
C:\avenger.txt
C:\cleannavi.txt
C:\fixnavi.txt
C:\LHT17E.tmp
C:\LHT118.tmp
C:\ctapi_out_gr.txt
C:\Boot.bak
C:\SWSTAMP.TXT
C:\WINDOWS\system32\wuauclt.exe.wusetup.369578.bak
C:\WINDOWS\system32\wuapi.dll.wusetup.369421.bak
C:\WINDOWS\system32\wuaueng.dll.wusetup.369828.bak

Folder::
C:\Avenger
C:\fixwareout
C:\WINDOWS\Downloaded Program Files
C:\Programme\Navilog1
C:\Programme\Symantec
C:\Programme\Online-Dienste
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

DirLook::
C:\CMPNENTS
C:\TOOLSCD
C:\WINDOWS\system32\URTTemp
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

5.) Reinige mit CCleaner alle temporären Dateien und die Registry.

6.) Installiere (Toolbars immer abwählen, Haken weg):

• Download der Java-Software von Sun Microsystems
• Avira AntiVir Personal - FREE Antivirus
• ICQ Download - ICQ.com
• Adobe Reader oder besser FoxIt Reader

7.) MalwareBytes starten und Log posten.

8.) SuperAntiSpyware starten und Log posten.

9.) Neues HJT-Log posten.

ciao, andreas

Hallo

Ich habe so ziemlich/genau das selbe Problem wie Lodda. Auch das GMER-Programm, das ich laufen gelassen habe, zeigt viele dieser UACd...(irgendwas) Dateien/Einträge. Also handelt es sich warscheinlich um das selbe Problem.

Soll/Kann ich die Anleitung von john.doe ebenso gefahrlos befolgen? (einfach die entsprechenden Änderungen für mein System vornehmen, z.b. Benutzername) Und gibt es allenfalls Punkte, die ich weglassen kann?

Ich hoffe ihr könnt mir helfen.
Gruss
black messiah

PS: als Notlösung habe ich die Firefox.exe Datei umbenannt, danach tritt das Problem auch nicht mehr auf. Ist zwar nur eine Notlösung und bekämpft die Ursache nicht, aber dennoch villeicht ein kleiner Tipp für die Zwischenzeit, bis die Ursache gelöst wurde.

@black messia

Bitte eröffne dein eigenes Thema, wie jeder hier. Poste als erstes das Gmer-Log.

ciao, andreas

Hallo,

Zitat:

Zitat von john.doe

Funktioniert dein Sound noch? Checke das bitte, falls nicht, dann stellen wir den Eintrag wieder her.

Sound funktioniert, ja.

Zitat:

Zitat von john.doe

Schau mal mit dem Windowsexplorer in den Ordner C:\Windows. Alle Bilder (*.bmp) mit Ausnahme von winnt256.bmp und winnt.bmp können gelöscht werden, falls du sie nicht brauchst.

Hab ich gemacht.

Zitat:

Zitat von john.doe

Du hast drei verschiedene Anmeldekonten. Wozu?

Du meinst die normale Windows-Anmeldekonten? Davon hab ich zwei, nicht drei. Eines ist für mich, das andere hat meine Mitbewohnerin mal benutzt. Das Letzte Mal ist aber schon länger her.

Zitat:

Zitat von john.doe

1.) Deinstalliere (falls möglich): ...

Hab ich soweit möglich gemacht, oder zumindest versucht. Ist ja manchmal nicht so einfach die Reste zu finden

Auch die beiden Programme zum entfernen der Norton und Java Reste habe ich laufen lassen.

zu 4.) edit: Beim Antwort verfassen sehe ich grade, das ich combofix ja 2 mal laufen lassen sollte. Das habe ich übersehen. Das folgende Log ist also das des einzelnden Durchlaufs.

http://www.materialordner.de/3E0wxct63hi5xKE7v7ZBbPb8wOYsXxfQ.html

Zitat:

Zitat von john.doe

5.) Reinige mit CCleaner alle temporären Dateien und die Registry.

Erledigt.

Zitat:

Zitat von john.doe

6.) Installiere (Toolbars immer abwählen, Haken weg): ...

Hab ich gemacht, bis auf ICQ, das ich eigentlich nicht mehr brauche.

Zitat:

Zitat von john.doe

8.) SuperAntiSpyware starten und Log posten.

Ich habe erstmal einen schnellen Scan gestartet, für einen kompletten fehlt mir heute die Zeit. Bei Bedarf kann ich dies morgen nachholen.

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/03/2009 at 08:01 PM

Application Version : 4.26.1000

Core Rules Database Version : 3828
Trace Rules Database Version: 1784

Scan type       : Quick Scan
Total Scan Time : 00:14:12

Memory items scanned      : 585
Memory threats detected   : 0
Registry items scanned    : 435
Registry threats detected : 0
File items scanned        : 7957
File threats detected     : 26

Rogue.WinPCDefender
	C:\Dokumente und Einstellungen\Bene\Startmenü\WinPC Defender.LNK

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@banner_tracking[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ad.71i[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ads.heias[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@adsrv.admediate[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@im.banner.t-online[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@adserver[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@apmebf[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@allesklarcomag.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ads.admediate[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@adserver.kfz-auskunft[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@atwola[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ice.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@www.etracker[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@www.web-mediaplayer[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@de2.komtrack[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@bwinde.122.2o7[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ad.zanox[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@webmasterplan[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@indextools[2].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@adserver.71i[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@adserver.easyad[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ottogroup.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@ottotrialpopunders.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Andere\Cookies\andere@web-mediaplayer[2].txt
         

Ich habe die 26 schädlichen Elemente enfernen und unter Quarantäne stellen lassen. Naja, um ehrlich zu sein, wars ein Versehen, eigentlich wollte ich die Antwort hier abwarten.

Zitat:

Zitat von john.doe

7.) MalwareBytes starten und Log posten.

Auch hier habe ich nur den schnellen Scan durchgeführt:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1938
Windows 5.1.2600 Service Pack 2

03.04.2009 20:22:50
mbam-log-2009-04-03 (20-22-38).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 81349
Laufzeit: 4 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\147793193612.CPX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\147793193631.CPX (Trojan.Agent) -> No action taken.
         

Hier habe ich dann tatsächlich ignoriert, und warte erst einmal auf Antwort.

Zitat:

Zitat von john.doe

9.) Neues HJT-Log posten.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:33, on 03.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\Synaptics\SynTP\Toshiba.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Bene\Desktop\HiJackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NVRotateSysTray] rundll32.exe C:\WINDOWS\system32\nvsysrot.dll,Enable
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\Toshiba\TOSHIBA Applet\TAPPSRV.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9115 bytes
         

Eine letzte Anmerkung, die mir aufgefallen ist: Beim Herunterfahren des Rechners, bekomme ich manchmal die Meldung das das folgende Programm beendet wird: ZcfgSvc.exe
Im Task-Manager wird diese Datei auch als Prozess, nicht als Programm angzeigt. Keine Ahnung, ob das von Bedeutung ist, aber der Vollständigkeit halber möchte ich es erwähnen.

Viele Grüße

Zitat:

Sound funktioniert, ja.

Zitat:

Davon hab ich zwei, nicht drei.

Zitat:

02.04.2009 14:21 <DIR> Bene
29.03.2009 22:42 <DIR> Administrator
29.03.2009 22:42 <DIR> Andere

Zitat:

Beim Antwort verfassen sehe ich grade, das ich combofix ja 2 mal laufen lassen sollte.

Nein. Zuerst ziehst du das Script drauf, dann startest du einmal.

Zitat:

Hab ich gemacht, bis auf ICQ, das ich eigentlich nicht mehr brauche.

Dann brauchst du es natürlich nicht zu installieren.

Zitat:

Bei Bedarf kann ich dies morgen nachholen.

Ja, Bedarf besteht.
Klicke vor dem erneuten vollständigen Scan von Malwarebytes auf die Karte Update und dann auf Suche nach Aktualisierungen. Du hast eine uralte Datenbank.

Zitat:

das das folgende Programm beendet wird: ZcfgSvc.exe

File Information - ZCfgSvc.exe Fehler deinstallieren
Lies es dir durch, auch die Userbewertungen und entscheide selbst, ob du es brauchst oder nicht. Die Toshiba-Software ist mir auch ein Dorn im Auge, genau wie Desktop Search von MS. Ich würde alles nicht Notwendige deinstallieren.

Die AVG-Ordner können eigentlich auch noch weg.

Lade die beiden Dateien, die MbAM anquengelt hat, bei einem Filehoster hoch und poste die Links. Das kann ein FP von MbAM sein. Das Datum ist zu alt und die Dateien zu klein, aber man weiß ja nie.

ciao, andreas

Guten abend,

alles arbeite ich jetzt nicht mehr ab, aber einen Teil kann ich ja noch angehen.

- Zu den drei Konten:

Zitat:

02.04.2009 14:21 <DIR> Bene
29.03.2009 22:42 <DIR> Administrator
29.03.2009 22:42 <DIR> Andere

Tja, wenn ich starte, habe ich definitiv nur zwei Konten. Ich würde dem ganzen aber auch nicht so eine besondere Bedeutung schenken, weil ich im Zuge der Viren/Trojanergeschichte die Adminrechte überhaupt erst neu zugeteilt habe. Vielleicht hängt es schlicht damit zusammen. Vorher waren die Konten jeweils ohne besondere Rechte eingerichtet, das habe ich erst die Tage jetzt geändert.

Zitat:

Beim Antwort verfassen sehe ich grade, das ich combofix ja 2 mal laufen lassen sollte.
ANTWORT: Nein. Zuerst ziehst du das Script drauf, dann startest du einmal.

Gut, dann habe ich das ja richtig gemacht, und das log pass dann auch.

Zitat:

Zitat:
Bei Bedarf kann ich dies morgen nachholen.
ANTWORT: Ja, Bedarf besteht.
Klicke vor dem erneuten vollständigen Scan von Malwarebytes auf die Karte Update und dann auf Suche nach Aktualisierungen. Du hast eine uralte Datenbank.

Hm, ich hab die vor dem Scan schon aktualisiert. Ich hab das grade nochmal überprüft und versucht. Malware bestätigt mir, das die verwendete Version [Datenbank-Version 1938] die aktuelle ist.

Zitat:

Zitat:das das folgende Programm beendet wird: ZcfgSvc.exe
Antwort: File Information - ZCfgSvc.exe Fehler deinstallieren
Lies es dir durch, auch die Userbewertungen und entscheide selbst, ob du es brauchst oder nicht.

Gut. Ich hab´s mir durchgelesen; und dann zunächst mal nach dem Programm gesucht, und es hier gefunden:

Code: Alles auswählenAufklappen

ATTFilter

ZCFGSVC.EXE-1FEE3EEE.pf   in   C:\Windows\Prefetch
ZCfgSvc.exe                in    C:\Programme\Intel\Wireless\Bin
         

Diese beiden Dateien habe ich dann bei Virustotal.com überprüfen lassen, ohne Ergebnis.
Wenn ich dich dich richtig verstehe, kann ich sie aber trotzdem löschen, weil sie unnötig sind. (?)

Zitat:

Die Toshiba-Software ist mir auch ein Dorn im Auge, genau wie Desktop Search von MS. Ich würde alles nicht Notwendige deinstallieren.

Die AVG-Ordner können eigentlich auch noch weg.

Lade die beiden Dateien, die MbAM anquengelt hat, bei einem Filehoster hoch und poste die Links. Das kann ein FP von MbAM sein. Das Datum ist zu alt und die Dateien zu klein, aber man weiß ja nie.

Dies, sowie die beiden Komplett Scans, mache ich dann morgen, wird mir jetzt zu spät.

Bis dahin, und ein herzliches Dankschön

Zweiter Teil der Antwort

1. Komplettscan durch Malware, heute aktualisiert:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1939
Windows 5.1.2600 Service Pack 2

04.04.2009 12:32:49
mbam-log-2009-04-04 (12-32-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 158803
Laufzeit: 48 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

2. Komplettscan durch Superantispyware -> 1 Ergebnis, in Quarantäne verschoben

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/04/2009 at 01:35 PM

Application Version : 4.26.1000

Core Rules Database Version : 3829
Trace Rules Database Version: 1785

Scan type       : Complete Scan
Total Scan Time : 00:34:57

Memory items scanned      : 571
Memory threats detected   : 0
Registry items scanned    : 6290
Registry threats detected : 0
File items scanned        : 19302
File threats detected     : 1

Adware.Vundo/Variant-MSFake
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{391197E0-8C57-4C06-9C98-32E013C26E86}\RP119\A0044170.EXE
         

3.

Zitat:

Lade die beiden Dateien, die MbAM anquengelt hat, bei einem Filehoster hoch und poste die Links. Das kann ein FP von MbAM sein. Das Datum ist zu alt und die Dateien zu klein, aber man weiß ja nie.

http://www.materialordner.de/VHyh10RxSvYW43ce4qLIf8dbVOFqTia.html
http://www.materialordner.de/JMTo4H3EjBJQZt8lT5euWRTSiTVI9BZI.html

Da ich über diese [Zahl].cpx Dateien in den letzten Tagen immer wieder gestolpert bin, habe ich alle 6 [Zahl].cpx Dateien im system32 Ordner auch nochmal bei virustotal.com überprüfen lassen; es gab aber keine Befunde mehr.

Zitat:

Tja, wenn ich starte, habe ich definitiv nur zwei Konten.

Hast du die Home-Edition? Da ist das Administratorkonto nur im abgesicherten Modus zu erreichen.

Zitat:

Wenn ich dich dich richtig verstehe, kann ich sie aber trotzdem löschen, weil sie unnötig sind. (?)

Nein, unnötig ist die nicht, aber bekannt dafür, dass sie Probleme verursacht. Falls sie weiterhin Probleme verursacht, dann melde dich nochmal. Dann können wir sie vorübergehend deaktivieren und du checkst dann, ob noch alles funktioniert und ob sich danach eine Besserung einstellt.

Zitat:

es gab aber keine Befunde mehr.

Nur die Art, wie sie installiert waren, kam mir merkwürdig vor. So installiert sich auch der Silent Banker. Aber die Dateien sind zu alt und zu klein, dazu noch nicht einmal Programme, also ungefährlich. KA, warum MbAM die angequengelt hat.

Gibt es noch irgendwelche Probleme? Oder tut der Rechner wieder, was er soll?

ciao, andreas

Hi,

der Rechner tut, was er soll, keine Probleme mehr.

Aber ein paar abschließende Fragen hätte ich noch:

1. Mich wundert, dass die kleinen Spezialprogramme, die man hier unter Anleitung laufen lässt, so viele Sachen mehr finden, als die "normalen" Antivirusprogramme. Heißt das, das die normalen Programme unzureichend sind?

2. Was mache ich mit den Spezialprogrammen? Soll ich sie deinstallieren? (zumindest bei Programmen wie combofix erscheint es mir ratsam, sie weingstens vom Desktop zu entfernen)
Oder soll ich SUPERAntiSpyware und Malware behalten, und ab und an laufen lassen?

3. Die Logs zeigen ja, das ich nur SP2 von Windows auf dem Rechner habe. Soll ich SP3 laden und installieren?

4. Kann ich jetzt wieder Online- Banking nutzen? Besser Passwörter ändern, oder?

Ich glaub das wärs fürs erste