Trojaner-Board - virus oder hardware problem?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - virus oder hardware problem? (https://www.trojaner-board.de/77969-virus-hardware-problem.html)

virus oder hardware problem?

ja hallo,
hab da ein riesen problem mit meinem laptop von lg (windows vista)

hab seit langem einen virus aber kein virusprogramm findet ihn.
ich denke das es ein virus ist weil mein defender nicht mehr geht und das email programm öffnet sich ständig selbst und nach ca 30 mal geht dann der pc aus.

hab ihn mehrmals neu aufgesetzt habe auch fixmbr usw ... alles versucht doch sobald vista installiert ist öffnet sich dauernd das email programm.(selbst beim installieren von vista stürzt der pc öffters ab)

habe heute versuch meine festplatte lowlevel zu formatieren hab auch die richtige software vom hersteller als bootcd. aber nach ca 5 min. schaltet der pc einfach ab, habs mehr mals brobiert(auch mit der ultimate boot cd)

kann das noch ein virus sein???
oder ist vielleicht meine festplatte kaputt??
bitte um hilfe weiss echt nicht mehr weiter

danke:kloppen:

Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
- Lade dir RSIT - http://filepony.de/download-rsit/:
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von Rsit installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

2.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Danke, das mit den logfiles werde ich gleich nach der Arbeit machen. Aber davor noch eine kleine Anmerkung.ich habe mir bereits eine neue Festplatte rein, am Anfang war alles ok,konnte Windows auch ohne Probleme installieren aber als ich grad dabei war meine Driver zu installieren ist schonwieder dauernd das Email Programm aufgegangen und danach ist der pc ausgegangen. Das heist ja dann das der Virus im Arbeitsspeicher oder im BIOS ist,oder? Denn manchmal bootet der pc mein DVD laufwerk nich :couldnd find ntldr cd Boot.wo kann der Virus sein? Danke im vorraus

Code:


 Anhang 4238

Code:


 Anhang 4239

Code:

Adobe Flash Player 10 ActiveX        Adobe Systems Incorporated        02.10.2009        

Agere Systems HDA Modem        Agere Systems        01.10.2009        

Atheros Driver Installation Program        Atheros        01.10.2009        4,00KB

ATI Catalyst Install Manager        ATI Technologies, Inc.        01.10.2009        13,9MB

CCleaner (remove only)        Piriform        03.10.2009        2,71MB

EzManual                01.10.2009        118,7MB

Google Toolbar for Internet Explorer        Google Inc.        03.10.2009        8,71MB

HijackThis 2.0.2        TrendMicro        03.10.2009        

LG Intelligent Update                01.10.2009        1,41MB

LG Smart Cam        LG Electronics Inc.        01.10.2009        1,89MB

LiveUpdate 3.2 (Symantec Corporation)        Symantec Corporation        02.10.2009        19,4MB

LiveUpdate Notice (Symantec Corporation)        Symantec Corporation        01.10.2009        7,59MB

Microsoft Visual C++ 2005 Redistributable        Microsoft Corporation        01.10.2009        0,54MB

Norton AntiVirus (Symantec Corporation)        Symantec Corporation        01.10.2009        29,8MB

O2Micro Flash Memory Card Reader Driver Installer(x86)        O2Micro        01.10.2009        1,00MB

Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista        Realtek        01.10.2009        0,80MB

Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        01.10.2009        15,7MB

Synaptics Pointing Device Driver        Synaptics        01.10.2009        12,8MB

System Control Manager        LG        01.10.2009        4,88MB

hier nochmal die logfile und infofile hatte sie ausversehen als link rein

Code:

Logfile of random's system information tool 1.06 (written by random/random)

Run by Alina at 2009-10-04 20:56:40

Microsoft® Windows Vista™ Home Premium  

System drive C: has 217 GB (91%) free of 237 GB

Total RAM: 2047 MB (56% free)
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:57:02, on 04.10.2009

Platform: Windows Vista  (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16546)

Boot mode: Normal
 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\lg_swupdate\GiljabiStart.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Windows\ehome\ehtray.exe

C:\Windows\ehome\ehmsas.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Windows\system32\wuauclt.exe

C:\Program Files\Internet Explorer\IEUser.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\Alina\Desktop\RSIT.exe

C:\Program Files\trend micro\Alina.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O1 - Hosts: ::1 localhost

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [LG Intelligent Update] "C:\Program Files\lg_swupdate\giljabistart.exe" Gilautouc

O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [Skytel] Skytel.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')

O13 - Gopher Prefix: 

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Evil Driver Daemon (NishService) - Unknown owner - C:\Program Files\LG Software\System Control Manager\edd.exe

O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
 

--

End of file - 6398 bytes

und hier nochmal die infofile

Code:

info.txt logfile of random's system information tool 1.06 2009-10-04 20:57:03
 

======Uninstall list======
 

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe

Agere Systems HDA Modem-->agrsmdel

AppCore-->MsiExec.exe /I{EFB5B3B5-A280-4E25-BE1C-634EEFE32C1B}

Atheros Driver Installation Program-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\setup.exe" -l0x7  -removeonly

AV-->MsiExec.exe /I{F4DB525F-A986-4249-B98B-42A8066251CA}

Catalyst Control Center - Branding-->MsiExec.exe /I{3F3328F3-79EE-4B2C-A5E2-13D5787ADAC1}

ccCommon-->MsiExec.exe /I{3CCAD2EF-CFF2-4637-82AA-AABF370282D3}

EzManual-->"C:\Program Files\EzManual\UnInstall.exe"

Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe" /uninstall

Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}

HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall

Internet Worm Protection-->MsiExec.exe /I{2908F0CB-C1D4-447F-97A2-CFC135C9F8D4}

LG Intelligent Update-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{81717D01-32F6-449C-85E1-41AFD678E545}\SETUP.EXE" 

LG Smart Cam-->C:\Program Files\InstallShield Installation Information\{9455E8B0-4D73-4A9D-BFA3-D2C213BFD28F}\setup.exe -runfromtemp -l0x0007 -removeonly

LiveUpdate 3.2 (Symantec Corporation)-->"C:\Program Files\Symantec\LiveUpdate\LSETUP.EXE" /U

LiveUpdate Notice (Symantec Corporation)-->MsiExec.exe /X{DBA4DB9D-EE51-4944-A419-98AB1F1249C8}

Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}

Norton AntiVirus (Symantec Corporation)-->"C:\Program Files\Common Files\Symantec Shared\SymSetup\{830D8CBD-C668-49e2-A969-C2C2106332E0}_14_1_0_27\{830D8CBD-C668-49e2-A969-C2C2106332E0}.exe" /X

Norton AntiVirus Help-->MsiExec.exe /I{34EEB1F5-E939-40A1-A6BA-957282A4B2C8}

Norton AntiVirus Parent MSI-->MsiExec.exe /I{E5EE9939-259F-4DE2-8023-5C49E16A4F43}

Norton AntiVirus SYMLT MSI-->MsiExec.exe /I{D1FF75E7-DD42-4CFD-B052-20B3FFF4EDB8}

Norton AntiVirus-->MsiExec.exe /X{830D8CBD-C668-49e2-A969-C2C2106332E0}

Norton Protection Center-->MsiExec.exe /I{9A129ABC-A53A-4209-A21E-D5DEDFB7CCA8}

O2Micro Flash Memory Card Reader Driver Installer(x86)-->MsiExec.exe /X{78764173-3805-4916-B3CE-B433702B8870}

Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\Setup.exe -runfromtemp -l0x0007 -removeonly

Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.exe" -l0x7  -removeonly

SPBBC 32bit-->MsiExec.exe /I{77772678-817F-4401-9301-ED1D01A8DA56}

Symantec-->MsiExec.exe /I{228F6876-A313-40A3-91C0-C3CBE6997D09}

Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall

System Control Manager-->C:\Program Files\InstallShield Installation Information\{ED9C5D25-55DF-48D8-9328-2AC0D75DE5D8}\setup.exe -runfromtemp -l0x0009 -removeonly
 

======Security center information======
 

AV: Norton AntiVirus

FW: Norton AntiVirus

AS: Windows-Defender (disabled)

AS: Norton AntiVirus
 

======System event log======
 

Computer Name: Alina-PC

Event Code: 4383

Message: Windows-Wartung hat das Update 958624-7_neutral_LDR aus Paket KB958624 (Security Update) in den Status Wird aufgelöst(Resolving) gesetzt.

Record Number: 5506

Source Name: Microsoft-Windows-Servicing

Time Written: 20091004185654.000000-000

Event Type: Informationen

User: NT-AUTORITÄT\SYSTEM
 

Computer Name: Alina-PC

Event Code: 4383

Message: Windows-Wartung hat das Update 958624-8_neutral_GDR aus Paket KB958624 (Security Update) in den Status Wird aufgelöst(Resolving) gesetzt.

Record Number: 5507

Source Name: Microsoft-Windows-Servicing

Time Written: 20091004185654.000000-000

Event Type: Informationen

User: NT-AUTORITÄT\SYSTEM
 

Computer Name: Alina-PC

Event Code: 4372

Message: Windows-Wartung setzt das Paket KB958624(Security Update) in den Status Wird bereitgestellt(Staging).

Record Number: 5508

Source Name: Microsoft-Windows-Servicing

Time Written: 20091004185703.000000-000

Event Type: Informationen

User: NT-AUTORITÄT\SYSTEM
 

Computer Name: Alina-PC

Event Code: 4372

Message: Windows-Wartung setzt das Paket KB958624(Security Update) in den Status Wird bereitgestellt(Staging).

Record Number: 5509

Source Name: Microsoft-Windows-Servicing

Time Written: 20091004185705.000000-000

Event Type: Informationen

User: NT-AUTORITÄT\SYSTEM
 

Computer Name: Alina-PC

Event Code: 4372

Message: Windows-Wartung setzt das Paket KB958624(Security Update) in den Status Wird bereitgestellt(Staging).

Record Number: 5510

Source Name: Microsoft-Windows-Servicing

Time Written: 20091004185705.000000-000

Event Type: Informationen

User: NT-AUTORITÄT\SYSTEM
 

=====Application event log=====
 

Computer Name: Alina-PC

Event Code: 8194

Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\servicing\TrustedInstaller.exe; Beschreibung = ).

Record Number: 682

Source Name: System Restore

Time Written: 20091004185517.000000-000

Event Type: Informationen

User: 
 

Computer Name: Alina-PC

Event Code: 8194

Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\servicing\TrustedInstaller.exe; Beschreibung = Windows-Modulinstallation).

Record Number: 683

Source Name: System Restore

Time Written: 20091004185540.000000-000

Event Type: Informationen

User: 
 

Computer Name: Alina-PC

Event Code: 8224

Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren. 

Record Number: 684

Source Name: VSS

Time Written: 20091004185552.000000-000

Event Type: Informationen

User: 
 

Computer Name: Alina-PC

Event Code: 8194

Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\servicing\TrustedInstaller.exe; Beschreibung = ).

Record Number: 685

Source Name: System Restore

Time Written: 20091004185613.000000-000

Event Type: Informationen

User: 
 

Computer Name: Alina-PC

Event Code: 8194

Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update).

Record Number: 686

Source Name: System Restore

Time Written: 20091004185613.000000-000

Event Type: Informationen

User: 
 

=====Security event log=====
 

Computer Name: Alina-PC

Event Code: 4907

Message: Die Überwachungseinstellungen für ein Objekt wurden geändert:
 

Antragsteller:

        Sicherheits-ID:                S-1-5-18

        Kontoname:                ALINA-PC$

        Kontodomäne:                WORKGROUP

        Anmelde-ID:                0x3e7
 

Objekt:

        Objektserver:        Security

        Objekttyp:        File

        Objektname:        C:\Windows\ehome\ehkeyctl.dll

        Handle-ID:        0x514
 

Prozessinformationen:

        Prozess-ID:        0x1228

        Prozessname:        C:\Windows\servicing\TrustedInstaller.exe
 

Überwachungseinstellungen:

        Originalsicherheitsbeschreibung:        

        Neue Sicherheitsbeschreibung:                S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)

Record Number: 731

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091004185348.405305-000

Event Type: Überwachung erfolgreich

User: 
 

Computer Name: Alina-PC

Event Code: 4648

Message: Anmeldeversuch mit expliziten Anmeldeinformationen.
 

Antragsteller:

        Sicherheits-ID:                S-1-5-18

        Kontoname:                ALINA-PC$

        Kontodomäne:                WORKGROUP

        Anmelde-ID:                0x3e7

        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}
 

Konto, dessen Anmeldeinformationen verwendet wurden:

        Kontoname:                SYSTEM

        Kontodomäne:                NT-AUTORITÄT

        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}
 

Zielserver:

        Zielservername:        localhost

        Weitere Informationen:        localhost
 

Prozessinformationen:

        Prozess-ID:                0x24c

        Prozessname:                C:\Windows\System32\services.exe
 

Netzwerkinformationen:

        Netzwerkadresse:        -

        Port:                        -
 

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden.  Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.

Record Number: 732

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091004185355.362905-000

Event Type: Überwachung erfolgreich

User: 
 

Computer Name: Alina-PC

Event Code: 4624

Message: Ein Konto wurde erfolgreich angemeldet.
 

Antragsteller:

        Sicherheits-ID:                S-1-5-18

        Kontoname:                ALINA-PC$

        Kontodomäne:                WORKGROUP

        Anmelde-ID:                0x3e7
 

Anmeldetyp:                        5
 

Neue Anmeldung:

        Sicherheits-ID:                S-1-5-18

        Kontoname:                SYSTEM

        Kontodomäne:                NT-AUTORITÄT

        Anmelde-ID:                0x3e7

        Anmelde-GUID:                {00000000-0000-0000-0000-000000000000}
 

Prozessinformationen:

        Prozess-ID:                0x24c

        Prozessname:                C:\Windows\System32\services.exe
 

Netzwerkinformationen:

        Arbeitsstationsname:        

        Quellnetzwerkadresse:        -

        Quellport:                -
 

Detaillierte Authentifizierungsinformationen:

        Anmeldeprozess:                Advapi  

        Authentifizierungspaket:        Negotiate

        Übertragene Dienste:        -

        Paketname (nur NTLM):        -

        Schlüssellänge:                0
 

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.
 

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".
 

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).
 

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.
 

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.
 

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.

         - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.

        - Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.

        - Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.

        - Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.

Record Number: 733

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091004185355.362905-000

Event Type: Überwachung erfolgreich

User: 
 

Computer Name: Alina-PC

Event Code: 4672

Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
 

Antragsteller:

        Sicherheits-ID:                S-1-5-18

        Kontoname:                SYSTEM

        Kontodomäne:                NT-AUTORITÄT

        Anmelde-ID:                0x3e7
 

Berechtigungen:                SeAssignPrimaryTokenPrivilege

                        SeTcbPrivilege

                        SeSecurityPrivilege

                        SeTakeOwnershipPrivilege

                        SeLoadDriverPrivilege

                        SeBackupPrivilege

                        SeRestorePrivilege

                        SeDebugPrivilege

                        SeAuditPrivilege

                        SeSystemEnvironmentPrivilege

                        SeImpersonatePrivilege

Record Number: 734

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091004185355.362905-000

Event Type: Überwachung erfolgreich

User: 
 

Computer Name: Alina-PC

Event Code: 4907

Message: Die Überwachungseinstellungen für ein Objekt wurden geändert:
 

Antragsteller:

        Sicherheits-ID:                S-1-5-18

        Kontoname:                ALINA-PC$

        Kontodomäne:                WORKGROUP

        Anmelde-ID:                0x3e7
 

Objekt:

        Objektserver:        Security

        Objekttyp:        File

        Objektname:        C:\Program Files\Common Files\System\msadc\msadce.dll

        Handle-ID:        0x3e4
 

Prozessinformationen:

        Prozess-ID:        0x1228

        Prozessname:        C:\Windows\servicing\TrustedInstaller.exe
 

Überwachungseinstellungen:

        Originalsicherheitsbeschreibung:        

        Neue Sicherheitsbeschreibung:                S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)

Record Number: 735

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20091004185607.963305-000

Event Type: Überwachung erfolgreich

User: 
 

======Environment variables======
 

"ComSpec"=%SystemRoot%\system32\cmd.exe

"FP_NO_HOST_CHECK"=NO

"OS"=Windows_NT

"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static

"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC

"PROCESSOR_ARCHITECTURE"=x86

"TEMP"=%SystemRoot%\TEMP

"TMP"=%SystemRoot%\TEMP

"USERNAME"=SYSTEM

"windir"=%SystemRoot%

"PROCESSOR_LEVEL"=6

"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel

"PROCESSOR_REVISION"=1706

"NUMBER_OF_PROCESSORS"=2

"configsetroot"=%SystemRoot%\ConfigSetRoot
 

-----------------EOF-----------------

hi

1.

lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
nichts am Pc machen während der Scan läuft![/b]
starte in diesem Ordner fsbl.exe
klicke auf "I accept the agreement" → "next" → "Scan"
wenn der Scan beendet ist, wähle Close.
der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird Gmer beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

3.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

**Versuche Norton für die Zeit bis Kspersky läuft deaktivieren! Danach nicht vergessen ihn wieder zu aktivieren!

hi,
habe versucht die oben angegeben programme auszuführen, aber der pc startet die programme nicht, das email programm öffnet sich dauernd und dann schaltet sich der pc aus.das blacklight programm geht gar nicht zeigt an ich bin nicht der administrator(bin ich aber)
gmer programm scannt bricht aber nach kurzer zeit ab weil das programm nicht mehr funktioniert.

wie gesagt habe bereits vor 2tagen meine festplatte durch eine neue ersetzt der virus ist aber noch da, kann es sein das er im arbeitsspeicher oder im Bios ist?

würde den ein Bios reset reichen um den virus dort zu entfernen, und wäre es sinnvoll wenn ich den Arbeitsspeicher auch durch einen neuen ersetze???
Danke :(

>Hast Du gesicherten Daten zurückgespielt?

Hallo, nein ich habe keine gesicherten Daten auf die neue Platte, desshalb vermute ich das der Virus im Arbeitsspeicher oder im BIOS ist. Seit gestern bootet mein pc das DVD Laufwerk nicht mehr als erstes(cd Boot couldnt find ntldr.) könnte denn ein BIOS reset helfen? Bin echt mit meinem Latein am Ende .

hi

1.
Master Boot Record überprüfen:

Lade Dir die MBR.exe von Gmer herunter
Speichere auf deinem Desktop
Per Doppelklick starten.
wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

2.
- kommst Du in den abgesicherten Modus wenn du beim Hochfahren des PC's [F8] drückst? Dort Du folgende Auswahlmöglichkeiten hast:
- Abgesicherter Modus
- Abgesicherter Modus mit Netzwerktreibern
- Abgesicherter Modus mit Eingabeaufforderung

hi,

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
 

device: opened successfully

user: error reading MBR 

kernel: error reading MBR

bekomme ich eine Antwort?

Zitat:

Zitat von Coverflow (Beitrag 471243)

- kommst Du in den abgesicherten Modus wenn du beim Hochfahren des PC's [F8] drückst? Dort Du folgende Auswahlmöglichkeiten hast:
- Abgesicherter Modus
- Abgesicherter Modus mit Netzwerktreibern
- Abgesicherter Modus mit Eingabeaufforderung

ja ich komme im abesicherten modus rein aber selbst da spinnt der pc, auch da geht ganze zeit das email programm auf. und die anderen programme lassen sich auch nicht starten