regedit & msconfig werden sofort geschlossen/C:\WINDOWS\System32\nbthelp.exe |
||
---|---|---|
#0
| ||
28.06.2004, 19:40
...neu hier
Beiträge: 3 |
||
|
||
28.06.2004, 19:47
Member
Beiträge: 80 |
#2
Diesen Eintrag kannst du bestimmt fixen:
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto Danach kannst du die im Eintrag angegebene Datei löschen. Damit sollte das Problem eigentlich auch gelöst sein kann aber sein das noch was anderes oben ist. Edit: Die Datei C:\WINDOWS\System32\gijfs.exe ist ungefährlich, gehört zu Outlook. __________ lg Geri Dieser Beitrag wurde am 28.06.2004 um 19:49 Uhr von Geri editiert.
|
|
|
||
28.06.2004, 19:59
...neu hier
Themenstarter Beiträge: 3 |
#3
Den Eintrag :
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto konnte ich Fixen,es hat sich aber keins der Symptome verändert. Zudem benutze ich Outlook nicht und hatte es bisher nie im Autostart. Das setzt sich ja nicht einfach so da rein. Sehr seltsam das alles. |
|
|
||
28.06.2004, 21:16
Member
Beiträge: 441 |
#4
@ Geri
Dieser Datei C:\WINDOWS\System32\gijfs.exe gehört nicht zu Outlook, das ist der Verursacher. @ Muffa Überprüfe diese C:\WINDOWS\System32\gijfs.exe bei http://www.kaspersky.com/de/remoteviruschk.html und teile uns das Ergebnis mit. Desweiteren handelst du grobfahrlässig, wenn du dein System nicht updatest. also dringendst http://v4.windowsupdate.microsoft.com/de/default.asp besuchen. Zitat Platform: Windows XP (WinNT 5.01.2600) __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
28.06.2004, 22:41
...neu hier
Themenstarter Beiträge: 3 |
#5
Die "gijfs.exe" konnte ich weder auf dem Rechner finden noch konnte die Seite
http://www.kaspersky.com/de/remoteviruschk.html geöffnet werden. Allerdings konnte ich das Problem durch den Stinger lösen. Bei der Datei handelte es sich um einen Sdbot.worm.gen.g Ich versuche jetzt alle möglichen Win Updates drauf zu machen. Danke für die Hilfe |
|
|
||
28.06.2004, 23:18
Member
Beiträge: 441 |
#6
@ Muffa
Zitat Die "gijfs.exe" konnte ich weder auf dem Rechner finden noch konnte die SeiteÖffne mal diese Datei C:\Windows\system32\drivers\etc\hosts mit dem Editor und poste den Inhalt. Versteckte Dateien und Ordner anzeigen: "Windows Explorer" öffnen ->"Extras" ->"Ordneroptionen" ->"Ansicht" ->"Versteckte Dateien und Ordner" ->"Alle Dateien und Ordner anzeigen" Überprüfe nochmals diese C:\WINDOWS\System32\gijfs.exe Poste nach dem Updaten nochmals ein Log-File. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
06.04.2005, 16:04
...neu hier
Beiträge: 9 |
#7
habe genau das gleich prob... nur bei mir lassen sich die datein nicht löschen...
hier mein log: Logfile of HijackThis v1.99.1 Scan saved at 15:21:37, on 06.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\Cirond\Cirond WiNc\WiNc.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\Kopie von HijackThis.exe O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe" O4 - HKLM\..\Run: [Compaq Service Drivers 32] compq32.exe O4 - HKLM\..\RunServices: [Compaq Service Drivers 32] compq32.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe O4 - Global Startup: Cirond WiNc.lnk = C:\Programme\Cirond\Cirond WiNc\WiNc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Enables support for NetBIOS over TCP/IP (NetBT) service and NetBIOS name resolution. (Netbios Helper) - Unknown owner - C:\WINDOWS\System32\nbthelp.exe (file missing) O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe |
|
|
||
06.04.2005, 16:12
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@dfc-eraser
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren Start<Ausfuehren<regedit Bearbeiten--> suchen--> reinkopieren: Netbios Helper loesche alles mit rechtsklick, was du findest zum Beispiel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbios Helper #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Compaq Service Drivers 32] compq32.exe O4 - HKLM\..\RunServices: [Compaq Service Drivers 32] compq32.exe O4 - HKCU\..\Run: [Compaq Service Drivers 32] compq32.exe O4 - HKCU\..\RunServices: [Compaq Service Drivers 32] compq32.exe O23 - Service: Enables support for NetBIOS over TCP/IP (NetBT) service and NetBIOS name resolution. (Netbios Helper) - Unknown owner - C:\WINDOWS\System32\nbthelp.exe (file missing) neustarten--> in den abgesicherten Modus suche: compq32.exe nbthelp.exe cmd.exe rechtsklick: -->Eigenschaften--> Erstellungsdatum loesche: C:\WINDOWS\system32\nbthelp.exe C:\WINDOWS\system32\compq32.exe C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\del.bat C:\WINDOWS\system32\cmd.exe<--falls diese Datei uebereinstimmt mit dem Erstellungsdatum des Backdoors--> auch loeschen, viellecht findest du auch 2 cmd.exe, eine ist die normale von Windows. (die natuerlich nicht loeschen) dann suche andere Dateien, bat oder ini oder exe dll die zur gleichen Zeit auf den PC gelangt sind und loesche sie gemeinsam mit compq32.exe und nbthelp.exe -------------------------------------------------------------------------- ; This file is generated by AppHunter ; Please contact support@cyberdefender.com for more details [Summary] Discovered=02/16/2005 23:28:00 ID=2EB58B7F3DE686AFFC2F5639AF5DAD09 ID2=30720,90D3B8B36BA9FAE55271ECE0D76A6998 ID3=29696,84904D5C97CD36C4BD6B3D686FA3EBAE MD5=46FAB55F4416AB3CB3742C63BEDF645B Size=30720 Filename=nbthelp.exe Company=N/A Risk=5.0 Virus=Sdbot.worm *** [Risk Analyzer] AutoRun=4 NonBrand=10 FileCreated=4 FileCreatedInWinSys=4 CloneThreat=4 RunProcess=4 ServiceCreated=10 McAfee=8 [Virus Known As (McAfee)] W32/Sdbot.worm=1 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netbios Helper] ImagePath=C:\WINDOWS\system32\nbthelp.exe [FileCreated] c:\windows\system32\nbthelp.exe=1 c:\docume~1\apphun~1\locals~1\temp\del.bat=1 [ProcessCreated] C:\WINDOWS\system32\nbthelp.exe=1 C:\WINDOWS\system32\cmd.exe=1 [ThreadCreated] Count=3 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2005, 21:22
...neu hier
Beiträge: 9 |
#9
ich komme ja nicht in die reg edit :-( es schliest sich ja sofort :-(
|
|
|
||
06.04.2005, 21:29
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@dfc-eraser
Mach es mit diesem Tool: http://bilder.informationsarchiv.net/Nikitas_Tools/reglite.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.04.2005, 21:38
...neu hier
Beiträge: 9 |
#11
hab grade einfach eine copie erstellt von der exe und nun gehts :-)
Das Forum hier ist echt super!! so das muste ich mal loswerden ... Kennt ihr den (Virus) schon? oahhh big thx es geht nun alles wieder normal *fg* Aber wie kann ich mich davor schützen? Dieser Beitrag wurde am 06.04.2005 um 21:43 Uhr von dfc-eraser editiert.
|
|
|
||
06.04.2005, 21:57
Ehrenmitglied
Beiträge: 29434 |
#12
wenn du alles abgearbeitet hast, dann mache folgendes:
(und nicht vergessen, du musst unbedingt den Mutex an Hand des Erstellungsdatums finden und loeschen !!!! Poste mir bitte, alles, was du findest (fuer andere User •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm •Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php dann poste mir, was bei den Scanns angezeigt wurde. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.04.2005, 08:48
...neu hier
Beiträge: 9 |
#13
aso: von dennen suche:
compq32.exe nbthelp.exe cmd.exe habe ich auch nur den comp32.exe gefunden.... meine cmd war erstellung 1.8.00 oder so :-) Incident Status Location Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR00 Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR01 Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR02 Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR03 Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR04 Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR05 Virus:W32/Sdbot.COO.worm Disinfected C:\Programme\AVPersonal\INFECTED\compq32.VIR06 Virus:W32/Gaobot.DKJ.worm Disinfected C:\Programme\AVPersonal\INFECTED\msmq2inst.VIR Virus:W32/Sdbot.BZL.worm Disinfected C:\Programme\AVPersonal\INFECTED\rant.VIR Virus:W32/Gaobot.DNY.worm Disinfected C:\Programme\AVPersonal\INFECTED\rpcxuisu.VIR Virus:W32/Gaobot.DNY.worm Disinfected C:\Programme\AVPersonal\INFECTED\rpcxuisu.VIR00 Virus:W32/Sdbot.CEP.worm Disinfected C:\Programme\AVPersonal\INFECTED\snapple.VIR Virus:W32/Sdbot.CEP.worm Disinfected C:\Programme\AVPersonal\INFECTED\snapple.VIR00 Virus:W32/Sdbot.CEP.worm Disinfected C:\Programme\AVPersonal\INFECTED\snapple.VIR01 Virus:W32/Sasser.ftp Disinfected C:\WINDOWS\system32\cmd.ftp Adware:Adware/StartPage.CK No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\hempy[1].exe Adware:Adware/WUpd No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\hempy[1].exe[blank.html] Adware:Adware/MediaTickets No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\hempy[1].exe[re11.REG] Adware:Adware/StartPage.CK No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\update25[1].exe Spyware:Spyware/ISTbar No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\update25[1].exe[blank.html] Adware:Adware/MediaTickets No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\update25[1].exe[re11.REG] Adware:Adware/TopRebates No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H3UE4CV1\webrebates_europe[1].exe Virus:W32/Gaobot.DKA.worm Disinfected C:\WINDOWS\system32\hypertrm.exe Virus:W32/Gaobot.DKI.worm Disinfected C:\WINDOWS\system32\msnupdate.exe Virus:W32/Gaobot.EHX.worm Disinfected C:\WINDOWS\system32\outlookexpressupdate.exe Virus:W32/Gaobot.DNY.worm Disinfected C:\WINDOWS\system32\rpcxuisu.exe Virus:W32/Sdbot.CPB.worm Disinfected C:\WINDOWS\system32\svshost32.exe Virus:W32/Gaobot.EHX.worm Disinfected C:\WINDOWS\system32\TFTP1416 Virus:W32/Gaobot.DKJ.worm Disinfected C:\WINDOWS\system32\TFTP3220 Virus:W32/Gaobot.ECV.worm Disinfected C:\WINDOWS\system32\TFTP4008 Adware:Adware/TopRebates No disinfected C:\WINDOWS\Temp\webrebates.exe Virus:W32/Sober.G.worm Disinfected Persönliche Ordner\Gelöschte Objekte\FwD: , wat'n los ey?\Jokes511.zip[p-zipped_file_data .pif] Virus:W32/Netsky.D.worm Disinfected Persönliche Ordner\Gelöschte Objekte\Returned mail: see transcript for details\Re: Your archive\your_archive.pif Virus:Trj/Citifraud.A Disinfected Persönliche Ordner\Gelöschte Objekte\Citibank: Urgent Security Notice For CIient [Sat, 28 Aug 2004 21:01:37 +0600]\MSG_RTF.TXT Virus:Trj/Citifraud.A Disinfected Persönliche Ordner\Gelöschte Objekte\OFFICIAL INFORMATION TO ALL Citizens Bank CLIENTS\MSG_RTF.TXT Virus:Trj/Citifraud.A Disinfected Persönliche Ordner\Gelöschte Objekte\CUSTOMER NOTIFICATION: DETAILS CONFIRMATION\MSG_RTF.TXT Virus:W32/Sober.G.worm Disinfected Archivordner\Gelöschte Objekte\FwD: , wat'n los ey?\Jokes511.zip[p-zipped_file_data .pif] Virus:W32/Netsky.D.worm Disinfected Archivordner\Gelöschte Objekte\Returned mail: see transcript for details\Re: Your archive\your_archive.pif das hat der erste ausgespuckt Dieser Beitrag wurde am 07.04.2005 um 10:13 Uhr von dfc-eraser editiert.
|
|
|
||
07.04.2005, 11:12
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo@dfc-eraser
solche mails darfst du nie oeffnen OFFICIAL INFORMATION TO ALL Citizens Bank CLIENTS\ NOTIFICATION: DETAILS CONFIRMATION\MSG_RTF.TXT C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ<--loeschen C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\hempy[1].exe C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\hempy[1].exe[blank.html] C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\hempy[1].exe[re11.REG] C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\update25[1].exe C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\update25[1].exe[blank.html] C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GNIXG9CJ\update25[1].exe[re11.REG] C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H3UE4CV1\webrebates_europe[1].exe C:\WINDOWS\Temp\webrebates.exe ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\cmd.ftp C:\WINDOWS\system32\comp32.exe C:\WINDOWS\system32\hypertrm.exe C:\WINDOWS\system32\msnupdate.exe C:\WINDOWS\system32\outlookexpressupdate.exe C:\WINDOWS\system32\rpcxuisu.exe C:\WINDOWS\system32\svshost32.exe C:\WINDOWS\system32\TFTP1416 C:\WINDOWS\system32\TFTP3220 C:\WINDOWS\system32\TFTP4008 neustarten Reinigung CCleaner http://www.ccleaner.com/ccdownload.asp dann scanne noch mal mit Antivirus (im abgesicherten Modus) und loesche alles, also keine Quarantaene akzeptieren !!!!!!!!!) How can I try F-Secure BlackLight Rootkit Elimination Technology? A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005. http://www.f-secure.com/blacklight/cure.shtml Graphical user interface version: (Recommended for most users) lade: fsbl.exe scanne und poste mir das Log vom Scann (*log) Dann poste das neue Log vom HijacktHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.04.2005, 07:58
...neu hier
Beiträge: 9 |
#15
das fsecure findest nichts... :-) die kill prog macht irngend einen fehler... es meint das die dateien schon von einem anderen Prog gelöscht worden seien
habe nachgeschaut die dateien sind wircklich nicht da Dieser Beitrag wurde am 08.04.2005 um 08:00 Uhr von dfc-eraser editiert.
|
|
|
||
Ich kann regedit als auch msconfig sowie den Task-Manager nicht benutzen, da diese sofort wieder geschlossen werden. Auch der AVGuard, welcher im Autostart ist wird beim booten beendet.
Hijackthis lässt sich nur ausführen, wenn es umbenannt wird und spuckt dann sowas aus:
Logfile of HijackThis v1.97.7
Scan saved at 19:23:59, on 28.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\gijfs.exe
C:\Programme\CPUCooL\CPUCooL.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\This.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [0utlook Express] gijfs.exe
O4 - HKLM\..\RunServices: [0utlook Express] gijfs.exe
O4 - HKCU\..\Run: [0utlook Express] gijfs.exe
O4 - HKCU\..\RunServices: [0utlook Express] gijfs.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: CPUCooL.lnk = C:\Programme\CPUCooL\CPUCooL.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\SYSTEM32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C39676D0-F819-4EE4-9E03-8B1D24DA960E}: NameServer = 217.237.151.225 194.25.2.129
Dabei erscheint mir der Eintrag : "C:\WINDOWS\System32\gijfs.exe" sehr suspekt
und lässt sich zwar im Abgesicherten Modus entfernen, erscheint beim booten dann allerdings wieder im Taskmanager wenn ich ihn kurz aufblitzen lasse und den per Druck gemachten Screenshot in Paint einfüge *g*.
Mit Ad-aware, Spybot, und Antivir hab ich schon gescant und nix gefunden.
Ich hoffe Ihr könnt mir vielleicht weiterhelfen.
Schonmal danke im vorraus und schönen Gruss
Muffa