Verseucht, was tun?
 

Hallo, also mein PC ist seid kurzem von einem oder mehrere trojaner(Backdoor Trojaner ,..?) und viren verseucht!:pfui:
1.Was kann ich tun auser mein PC System neu aufzusetzten?
Oder in den Fachhandel zu gehen?

2.Wenn ich doch in den Fachhandel gehen muss.. wieviel würde das dann so ca. kosten? Und/oder wenn ich den System neu aufsetzen muss gibt es da ein tutorial?

3.Wenn ihr meint ein Programm seih das Richtige... welches?

Danke im Vorraus!

Wenn dein System tatsächlich kompromittiert ist, d.h. Unbefugte können ohne dass du es merkst durch eine Hintertür in dein System rein, dann ist eine Bereinigung nicht mehr sinnvoll.
Es kann zuviel manipuliert worden sein, so gut wie unmöglich in einem vertretbaren Zeitaufwand das alles festzustellen.

Aber teile doch erstmal mit wo die Schädlinge gefunden werden und wie sie überhaupt heißen. Poste doch auch mal ein Hijackthis-Logfile.

Klar. Hier im Board (man beachte meine Signatur ;) ) oder diese hier als Beispiel.

Programm für was? :confused:

Ich habe Vista :rolleyes:
das HijackLog mache ich auch noch .

Und das programm für Trojaner "Removen".

Tze..dass du Vista hast hättest auch vorher erwähnen können, aber sei es drum :rolleyes:
Dort sollte das Neuaufsetzen eigentlich nicht viel anders sein, von der Vista-CD oder DVD booten, durchs Setup hangeln und zumindest die Systempartition formatieren. Evtl. ist das aber anders bei dir, wegen einer Recovery-CD oder so. Dann heißt es RTFM.

Das "ultimative Programm" gibt es imho nicht - wenn du ein System bereinigen willst, musst du verschiedene Tools einsetzen, aber die alleine durchrattern zu lassen bringt nicht viel, man muss sie mit Verstand einsetzen und wissen was zu tun ist...
Ob das Bereinigen noch bei deinem System Sinn macht, wird sich zeigen.

Logfile of HijackThis v1.99.1
Scan saved at 22:32:24, on 19.08.2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe
C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Intel\IntelDH\CCU\CCU_Engine.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Panda Security\Panda Antivirus 2008\ApVxdWin.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Panda Security\Panda Antivirus 2008\WebProxy.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\msfeedssync.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe


EDIT:Ich hoffe das, das richtig ist.

Böse Einträge hab ich da nicht gesehen.
Nimm aber lieber noch mal die aktuelle Version von Hijackthis (v2.0.2) und führe es als Administrator aus (Rechtsklick, als Admin ausführen...). Erstell ein neues Logfile und poste es.

OK, das mache ich morgen.
Soll ich vielleicht das Protokoll von eScan Posten, denn dort steht was...
aber ich kann leider nicht diese find,bat datei machen.:(

Kannste probieren, ich hoffe es ist nicht zu groß.
Ansonsten müsstest du selber filtern oder als zip zu einem Filehoster (z.B. rapidshare) hochladen und hier verlinken.

Hier einmal von Hijack This v2.0.2
Und was hat's sich mit dem ganzen ICQ zeug auf sich? Ich hatte es zun anfang mal drauf, aber gechatet hatte ich damit nie.
(Brauchst du sonst noch ein eScan Protokoll?)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:01:52, on 20.08.2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\SYSTEM32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe
C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Intel\IntelDH\CCU\CCU_Engine.exe
C:\Program Files\Avira Premium Security Suite\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Windows\system32\conime.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\ehome\ehmsas.exe
K:\anti\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [CCUTRAYICON] C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe
O4 - HKLM\..\Run: [NMSSupport] "C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe" /startup
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [LanzarL2007] "C:\Users\MediMax\AppData\Local\Temp\{B2D4007D-C448-4753-BAA7-573A13386A34}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x0007"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Windows Update] C:\Windows\system32\Windwos.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [{FBBD5339-410E-458C-646F-58C1E4FBE458}] C:\Users\MediMax\AppData\Roaming\install_BF.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe (file missing)
O13 - Gopher Prefix:
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\Avira Premium Security Suite\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\avesvc.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: IDriverT - Intel Corporation - (no file)
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 10758 bytes

Werte diese Datei mal bitte bei Virustotal aus und poste das Ergebnis.
Das escan Log könntest du auch posten, wenns zu groß ist, dann kannste mir das gezippt per mail schicken => E-Mail an cosinus

das sieht nicht so gut aus... für mich . Ich glaube du hast den Punkt gefunden.

Ich sende es dir gleich.

Darf ich noch von 2 andenen Computern das HijackLog hier Posten , so das du diese auch noch nach schauen kannst? währe nett, wenn ja ,dann schicke ich zuerst ein und dann später den 2 . OK?

Öhm, ja, warum nicht, ich wäre aber dafür du machst pro Rechner jew. einen Thread auf, damit das alles übersichtlich bleibt.

Welche Schädling wurde erkannt? Bitte Ergebnisse posten!!

AhnLab-V3 -
AntiVir -
Authentium -
Avast Win32:VB-EIN
AVG VB.TD
BitDefender -
CAT-QuickHeal -
ClamAV -
DrWeb -
eSafe -
eTrust-Vet -
Ewido -
FileAdvisor -
Fortinet -
F-Prot -
F-Secure -
Ikarus Trojan-Dropper.Win32.Agent.blv
Kaspersky -
McAfee 5100 -
Microsoft Trojan:Win32/Anomaly.gen!A
NOD32v2 probably a variant of Win32/VB.BCO
Norman -
Panda -
Prevx1 Generic.Malware
Rising -
Sophos -
Sunbelt -
Symantec -
TheHacker -
VBA32 -
VirusBuster -
Webwasher-Gateway - Win32.Malware.gen!92 (suspicious)
:eek: :heulen:
Was kann ich machen um die zu entfernen?
Und brauchst du das eScan Potokoll immer noch?

Ja schick das escan Log mal her. Und mach auch gleich mal ein Filelisting:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Wie meinst du das?
Zitat:
Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen

Wie kann man denn die letzten 30 Tage nachgucken?

Das siehst du doch am Datum!! :crazy:

:rolleyes: da steht doch nur wann ich gescant habe oder guck ich da falsch?:crazy:

Schau dir mal ganz genau den Output an, den das filelist erzeugt. Dateien werden dir aufgelistet, links daneben steht das Datum der Datei.

((Sat Aug 18 15:47:54 2007 ))=> Scanne Datei C:\Windows\Microsoft.NET\Framework\v2.0.50727\UnInstallProfile.SQL

Meinst du z.B. das dick gedruckte?

*seufz*

Also noch mal ganz laaangsam zum mitschreiben :heilig:
Wenn du die filelist.bat doppelklickst, öffnet sich nach kurzer Zeit der Editor, zu sehen ist z.B. sowas hier:

Das ist eine Auflistung der Dateien in den jew. Ordnern, ganz links siehst du den Datumsstempel einer jeden Datei. Ganz oben die neusten, ganz unten die ältesten. Du sollst jetzt nur aus den erwähnten Ordnern die Dateien der letzten 30 Tage hier reinposten.

Ist das denn so schwierig zu verstehen? :confused:

Irgentetwas läuft am anfang hier schief das steht bei mir

"filelist - Editor

not supported windows version
----------------------------------------

Microsoft Windows [Version 6.0.6000]"


--das wars...:confused:

:eek:

Ach mist, du hast ja Vista!
Moment, ich werd mir da mal ein Workaround einfallen lassen!

^^ ok das war jetzt irgentwie voll lol ...danke

Probier mal statt dem filelist die datfind.bat aus.

ich entpacke es führe es aus dann klick ich eine zahl bzw. nummer und dann kommt "C:/system.txt" konnte nicht gefunden werden....
was ist denn da passiert?

Hm irgendwie scheint das konventionelle Auflisten unter Vista nicht zu funktionieren....
Hab hier grad kein Vista zur Hand um das zu testen :(

Was passiert wenn du folgendes ausführst, geh auf Start, ausführen => cmd (und bestätigen). Die Shell (schwarze Eingabeaufforderung sollte sich öffnen). Dort eintippen (kannst auch reinkopieren):

dir %windir% /a:-d /o:-d

und mit ENTER bestätigen.

ganz unter und woher kannst du sowas?...:Boogie:

und was soll ich nun tun?

Indem man sich mit dem Betriebssystem befasst und auch schaut was die shell für Möglichkeiten bietet...eine GUI ist eben nicht alles :heilig:

ok .... und nun sag mir bitte was ich nun tun sollte:heilig:

Das steht in Posting #26...lesen musst du alleine

ich hab jetzt dir %windir% /a:-d /o:-d in das cmd reingeschrieben nun kommt eine liste | Datum | Zeit | Prozess (glaub ich)|
so ist die ca. eigeteilt
gut was muss ich jetzt machen weil ich kann mit rechtsklich nur

Makieren
Einfügen
Alles Makieren
Bildlauf
Suche...

auswählen und im #26 steht nur wie ich dahin komme wo ich mometan bin.

Ok, wenn ne liste rauskommt dann mach mal:

dir %windir% /a:-d /o:-d > %userprofile%\desktop\windir.txt

Erscheint dann eine Textdatei namens windir.txt au deinem Desktop? Wenn ja, schau rein und poste den Inhalt!

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: E4E1-52A1

Verzeichnis von C:\Windows

20.08.2007 21:30 1.440.929 WindowsUpdate.log
20.08.2007 19:34 67.584 bootstat.dat
20.08.2007 16:16 50 Lic.xxx
20.08.2007 12:04 29.962 PFRO.log
19.08.2007 16:12 905 SpywareDoctor505Uninstall.log
18.08.2007 22:17 160 SpywareDoctor505Installation.log
18.08.2007 22:06 278 win.ini
18.08.2007 22:03 20.311 setupact.log
16.08.2007 12:53 257.174 msxml4-KB936181-enu.LOG
15.08.2007 18:27 306.900 DirectX.log
15.08.2007 17:36 1.167 DIFx.log
11.08.2007 18:13 22.830 DPINST.LOG
08.08.2007 14:35 535 ODBCINST.INI
08.08.2007 14:35 288 ODBC.INI
08.08.2007 14:35 71 VBAddin.INI
08.08.2007 14:35 1.273 VB.INI
08.08.2007 14:35 0 wplog.txt
06.08.2007 20:25 772 DXError.log
05.08.2007 18:33 303 ST6UNST.000
01.08.2007 15:10 0 nsreg.dat
31.07.2007 20:52 241.598.135 MEMORY.DMP
18.07.2007 13:15 95 Alaunch.ini
17.07.2007 10:00 63 MBRWR.LOG
16.07.2007 20:07 280 PATCH.LOG
16.07.2007 15:00 1.709 BCDCFG.LOG
16.07.2007 14:58 319.456 DIFxAPI.dll
16.07.2007 14:57 315.392 HideWin.exe
16.07.2007 14:57 84 MORChangeID.LOG
16.07.2007 12:17 3.540 TSSysprep.log
16.07.2007 12:12 2.856 DtcInstall.log
27.06.2007 19:05 972.072 UNNeroMediaHome.exe
26.06.2007 14:12 972.072 UNNeroVision.exe
23.04.2007 16:42 972.336 UNRecode.exe
20.03.2007 21:22 972.336 UNNeroBackItUp.exe
28.02.2007 16:41 972.336 UNNeroShowTime.exe
15.02.2007 18:07 4.390.912 RtHDVCpl.exe
16.01.2007 11:39 1.191.936 RtlUpd.exe
12.01.2007 17:54 520.192 RtlExUpd.dll
15.12.2006 08:44 4.530.176 ocsetup_install_OEMHelpCustomization.etl
15.12.2006 08:44 24.576 ocsetup_cbs_install_OEMHelpCustomization.perf
15.12.2006 08:44 8.192 ocsetup_cbs_install_OEMHelpCustomization.dpx
14.12.2006 02:52 10 csup.txt
12.12.2006 05:50 1.244 CLEANUP.CMD
01.12.2006 12:50 1.071 generic.ini
03.11.2006 16:23 44 Acer(Normal).ini
02.11.2006 16:38 42 Acer(Wide).ini
02.11.2006 14:52 0 setuperr.log
02.11.2006 14:50 749 WindowsShell.Manifest
02.11.2006 14:47 94 SETUPAPI.LOG
02.11.2006 14:35 316.640 WMSysPr9.prx
02.11.2006 14:34 49.680 twunk_16.exe
02.11.2006 14:34 31.232 twunk_32.exe
02.11.2006 14:34 50.688 twain_32.dll
02.11.2006 14:34 94.784 twain.dll
02.11.2006 14:34 151.040 notepad.exe
02.11.2006 11:45 9.216 winhlp32.exe
02.11.2006 11:45 134.656 REGEDIT.COM
02.11.2006 11:45 134.656 R.COM
02.11.2006 11:45 134.656 regedit.exe
02.11.2006 11:45 14.848 hh.exe
02.11.2006 11:45 497.152 HelpPane.exe
02.11.2006 11:45 13.312 fveupdate.exe
02.11.2006 11:45 2.923.520 explorer.exe
02.11.2006 11:44 50.176 bfsvc.exe
02.11.2006 09:46 43.131 mib.bin

Schön es klappt also doch!
Ich meld mich gleich nochmal wieder.

:Boogie::heilig:

Versuch mal bitte folgenden Code als Administrator auszuführen. D.h. du speicherst den Code in einer BAT-Datei ab, klickst rechts drauf und sagst, als Administrator ausführen.

Danach schaust du mal in die Datei "linsting.txt" in C: und postest den Inhalt.

ich hab die listining datei jetzt gemacht jetzt mache ich rechtsklick als administrator ausführen dann kommt dieses cmd feld lässt den text einmal schnell durchlaufen und schließt sich von allein wieder.

was habe ich flasch gemacht?

Falsch hast du nichts gemacht. Schau mal direkt auf Laufwerk C: ob sich da eine Datei namens "listing.txt" befindet - wenn ja öffnen und inhalt hier posten.

Ich habe jetzt C durchgeguckt , aber nichts von einer "listening.txt" Datei gefunden.
Wo sollte die Datei sich denn genauer befinden?

Hi,
arbeite doch bitte mal die Anleitung zu tool2 aus dieser Anleitung ab: klick

Dann poste das Ergebnis der letzten 30 Tage hier.

lg myrtille

Guck mal bitte ich glaube bei abschnitt#36 oder 34 das ist doch das oder?

EDIT, da verstanden:

Es gibt noch mehr Ordner die wir überprüfen möchten. Daher bitte die Anleitung abarbeiten.
In Post 36 ist der Windows-Ordner angegeben, wir wollen noch den system32-Ordner, verschiedene Temp-ordner, den Prefetch-Ordner etc.

lg myrtille

Wenn man was schreibt bei den Kästchen oben rechts neben permalink steht die zahl, und dort 34 oder 36 suchen:heilig:

Ich glaube das escanlog ist bei der seite 2 ganz oben:)

Ich hoffe ads ist das richtige
h**p://rapidshare.com/files/50333547/VistaFindfullLog.zip.html

Nein, die Anleitung sagte doch ziemlich explizit, dass du die neuen Eiträge der letzten 30 Tage hier posten sollst.
Hab das für dich mal gemacht:
lg myrtille

Also auch darin seh ich erstmal so keine verdächtigen Dateien.
Nochmal zum Ausgangspunkt:

Welches Programm hat dir das überhaupt mitgeteilt, war es der Norton-Virenscanner? Wo wurden dir angeblichen Schädlinge denn gefunden?

Also ich gucke mein PC regelmäßig durch, Norton hatte nie was gefunden, die Programme die ich sonst noch ausprobiert habe die eigentlich auch nicht wirklich auser Kaspersky hatte irgentwas gefunden. Naja dann kam ich auf diese Seite , und fand eScan in einer Signatur dass hatte ich einmal durchgeführt.
Der hatte dann sofort gemeldet dass halt ein Backdoor Trojander sein "unnwehsen" treibt , und leider hat eScan noch viel mehr gefunden.
Etwas was ich noch nicht erwehnte habe, war das ich avast installierte habe und er sofort ein Trojanisches Pferd gefunden hatte! Mehr aber dann auch nicht, darauf guckte ich nochmal mit eScan nach ob da immer noch so viel drauf ist, und er hatte immer noch ein oder mehrere spyware gefunden, konnte sie aber nicht löschen da es nur eine Testversion ist. Also kam ich auf die Idee hier mal ein Thread aufzumachen, was ich machen könnte.
Heute hab ich nocheinmal mit eScan nachgeguckt, und er fand immer noch so viel...
:blabla:

Also eScan findet bei dir zwar recht viel, aber nach bisherigen Erfahrungen erzeugt dieses kostenlose Tool recht viele Fehlalarme.
Diese Anleitung könntest du auch mal abarbeiten, ich hoffe damit ist mehr ersichtlich.

OK , ich habe jetzt den 2 skript fertig.
Was komisch ist, ist das rechts bei healing method nichts ist, aber bei Log unten steht mehr in rot, und Delete konnte man auch nicht anklicken.
Bei dem 1 skript hat er was gefunden und Delete und so konnte man anklicken so das ein Drag-Drop kam.
OK soll ich diese auswertung hier posten + dem HJT-Log?

Ja mach mal...

Also das war in einer .rar\.zip datei da war die ein Link, auf den link muss man gehn ja und da ist das oder?
#1
h**p://rapidshare.com/files/50395959/virusinfo_syscheck.htm.html
#2
h**p://rapidshare.com/files/50395970/virusinfo_syscure.zip.html

Und nocheinmal das HJT-Log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:45, on 21.08.2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\Windows\SYSTEM32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe
C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Avira Premium Security Suite\avgnt.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\System32\rundll32.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Intel\IntelDH\CCU\CCU_Engine.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\MediMax\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Windows\system32\SysMonitor.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [CCUTRAYICON] C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe
O4 - HKLM\..\Run: [NMSSupport] "C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe" /startup
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [LanzarL2007] "C:\Users\MediMax\AppData\Local\Temp\{B2D4007D-C448-4753-BAA7-573A13386A34}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x0007"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [?????????] ??????????????e
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKCU\..\Run: [{FBBD5339-410E-458C-646F-58C1E4FBE458}] C:\Users\MediMax\AppData\Roaming\install_BF.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O13 - Gopher Prefix:
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DC64F8C-CD6D-4673-8128-14F4DB0DC420}: NameServer = 213.191.74.12 213.191.92.84
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\Avira Premium Security Suite\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Program Files\Avira Premium Security Suite\avesvc.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: IDriverT - Intel Corporation - (no file)
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 11656 bytes

Also dieser Eintrag macht mich echt stutzig. Der andere ("windwos") ist nicht mehr zu sehen.
Vllt. erwischen wir noch ein paar krumme Autostarteinträge: Besorg dir Silentrunners, lass es durchlaufen und poste das Log.

Edit: Hast du mehere Sichereheistprogramme parallel laufen? Du solltest dich für einen Virenscanner entscheiden...mehrere gleichzeitig bremsen das System aus und können sich gegenseitig aushebeln.

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows Vista
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Sidebar" = "C:\Program Files\Windows Sidebar\sidebar.exe /autoRun" [MS]
"****r" (unwritable string) = "(empty string)" [file not found]
"*********" (unwritable string) = "**************e" (unwritable string) [file not found]
"ehTray.exe" = "C:\Windows\ehome\ehTray.exe" [MS]
"MsnMsgr" = ""C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background" [MS]
"swg" = "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"]
"ISUSPM Startup" = ""C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup" ["Macrovision Corporation"]
"{FBBD5339-410E-458C-646F-58C1E4FBE458}" = "C:\Users\MediMax\AppData\Roaming\install_BF.exe" [null data]
"Steam" = "(empty string)" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Windows Defender" = "C:\Program Files\Windows Defender\MSASCui.exe -hide"
"IgfxTray" = "C:\Windows\system32\igfxtray.exe" [file not found]
"HotKeysCmds" = "C:\Windows\system32\hkcmd.exe" [file not found]
"Persistence" = "C:\Windows\system32\igfxpers.exe" [file not found]
"RtHDVCpl" = "RtHDVCpl.exe" ["Realtek Semiconductor"]
"IAAnotif" = ""C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"" ["Intel Corporation"]
"Acer Empowering Technology Monitor" = "C:\Windows\system32\SysMonitor.exe" [null data]
"Acer Tour" = "(empty string)" [file not found]
"WarReg_PopUp" = "C:\Acer\WR_PopUp\WarReg_PopUp.exe" [null data]
"eDataSecurity Loader" = "C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe" ["HiTRUST"]
"eRecoveryService" = "(empty string)" [file not found]
"CCUTRAYICON" = "C:\Program Files\Intel\IntelDH\CCU\CCU_TrayIcon.exe" ["Intel(R) Corporation"]
"NMSSupport" = ""C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe" /startup" ["Intel Corporation"]
"Picasa Media Detector" = "C:\Program Files\Picasa2\PicasaMediaDetector.exe" ["Google Inc."]
"NvSvc" = "RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"SunJavaUpdateSched" = ""C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"NeroFilterCheck" = "C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" ["Nero AG"]
"avgnt" = ""C:\Program Files\Avira Premium Security Suite\avgnt.exe" /min" ["Avira GmbH"]
"SpySweeper" = ""C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray" [file not found]
"LanzarL2007" = ""C:\Users\MediMax\AppData\Local\Temp\{B2D4007D-C448-4753-BAA7-573A13386A34}\{D1DA2BA7-2592-4036-9BB2-DCCABDE8DC1A}\..\..\L2007tmp\Setup.exe" /SETUP:"/l0x0007"" [file not found]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" ["ALWIL Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
{83A2F9B1-01A2-4AA5-87D1-45B6B8505E96}\(Default) = (no title provided)
-> {HKLM...CLSID} = "ShowBarObj Class"
\InProcServer32\(Default) = "C:\Windows\system32\ActiveToolBand.dll" ["HiTRUST"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)


Ist das richtig?
Ach ja und wenn ich bei C:\...\System32\ finde ich so auch nicht "WINDOWS",
ist das normal?

Ist das Logfile tatsächlich so klein? :dummguck:

Irgentwie ist das nichts mehr.:balla:

Ist das mehr?:rolleyes: Wollte es wohl zu früh angucken:daumenhoc

Jetzt ist es um es hier zu posten zu groß-.-''
h**p://rapidshare.com/files/50409115/Startup_Programs__HUGO__2007-08-21_22.11.47FULL.txt.html

Also diese Teile würden mir echt Sorgen machen.
Ich befürchte die Systemanalyse von deinem anscheinend kompromittierten System macht keinen Sinn mehr. Du müsstest schon mit härteren Sachen wie z.B. die UBCD4WIN ran.
Ob du dir das antun willst...du könntest auch sauber neu aufsetzen und der Drops ist gelutscht.

also würdest du in meiner situation das system neu aufsetzten?

1.Also das Problem ist ich habe Vista und finde keine anweisungen wie man eine neu aufsetzung macht? Weiß hier jemand eine lösung?
2.Eine Sicherheitskopie von acer (mein PC) habe ich brauche ich noch etwas ?

Die Frage ist erstmal was du machen willst. Egal für was du dich entscheidest, beides wird aufwendig sein. Du hast zwei Möglichkeiten:

#1) Du willst weiter analysieren. Das erfordert z.B. die UBCD4WIN die du von einem sauberen Rechner erstellen und deinen befallenen Rechner damit booten lassen musst.
Je nach Ergebnis kannst du aber auch Pech, dass auch dort keine klare Aussage zu bekommen ist und du annehmen musst, deine Kiste ist noch verseucht, oder gleich ganz klipp und klar dass auf der Vista-Install Backdoors gefunden wurden. Dann kannst du gleich plattmachen.

#2) Du verzichtest auf die weitere langwierige Analyse und setzt gleich neu auf. Spiel einfach die Sicherheitskopie zurück (vom Acer-Datenträger booten!). Wie du da genau vorzugehen hast, solltest du dem Manual entnehmen können.
Beim Recovery-Vorgang werden höchstwahrscheinlich alle Daten auf der Platte gelöscht, das solltest du bedenken!

Ziehmlich komplizeirt für ein noob wie mich:(
Kann man nicht einfach beei C:\=>Rechtsklic=>Formatieren auswählen=>bestetiegen=>Durchführung zu ende =>PC neu starten =>Sicherheitskopie reinlegen=>Installieren:confused:

Also kanns klar muss sein das ich Vista behalten möchte!

Nee das Formatieren funktioniert so deswegen schon mal nicht nicht, weil es die Systempartition ist, von der Vista läuft! würde es funktionieren, würdest du dir auch gleich den Boden unter Füßen mit wegformatieren. :rolleyes:

Wie ich schon schrieb, du müsstest vom Installationsmedium (vista-DVD oder Acer-Recovery-DVD) booten! Dort im Setup müsstest du die Möglichkeit haben, die Systempartition zu formatieren. Geschieht auch manchmal automatisch, leider habe ich selber bisher Vista nochnicht installiert und weiß so auch nicht die einzelnen Schritte im Ablauf - wird aber vermutlich nicht viel schwieriger sein als beim XP-Setup.

Kann man das auch so machen ?
"RECOVERY cd einlegen,

neu starten, und wenn da steht "drücken sie eine beliebige taste" einfach Enter oder was drücken, dann steht da "WINDOWS IS LOADING FILES"

dann wartest du und gehst den anweisungen nach. "

hat mir jemand auf einer anderen seite gesagt.

Ja so in etwa ist die Vorgehensweise wenn du vom Recovery-Medium bootest. ;)
Schau aber lieber nochmal in dein Manual wenn du unsicher bist.