Alle .exe sind 259 k groß! Sober??

#1 Hallo, verzweifelter Sohn ruft mich zu seinem Rechner, beim Starten diverser Programme Fehlermeldung, habe gerade mal im Explorer *.exe gesucht, siehe da, fast alle sind an einem Tag verändert auf 259 K.

WAS IST DAS BITTE!?

Sorry, wollte nicht so schreien.. Habe im Hinterkopf da schonmal was drüber gelesen zu haben. Kann Rechner nicht im abgesicherten Modus hochfahren, komme mit F8 wohl zur Auswahl, kann aber mit den Richtungstasten dann nix auswählen...

Könnte das mit sober zusammenhängen? Die veränderten Dateien sind alle mit Datum vom 5.1.2006

#2 kannst du hier noch folgendes posten?
http://virus-protect.org/datfindbat.html

wenn auch das nicht mehr geht....bleibt wohl nur formatieren
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A465-5CEE

Verzeichnis von C:\

13.01.2006 15:13 0 sys.txt
13.01.2006 15:13 6.148 system.txt
13.01.2006 15:13 15.747 systemtemp.txt
13.01.2006 15:11 103.803 system32.txt
13.01.2006 15:09 805.306.368 pagefile.sys
12.01.2006 09:39 5 AVPCallback.log
12.01.2006 09:11 397 vlist.log
11.01.2006 21:43 229 boot.ini
05.01.2006 16:02 264.704 KatchEm.exe
06.12.2005 13:27 0 DBS.TXT
22.04.2005 19:05 4.244 data
24.02.2005 18:50 20 anzds
30.12.2004 17:57 13.030 PDOXUSRS.NET
25.12.2004 17:35 411.136 DOKUM2
21.12.2004 17:24 0 IO.SYS
21.12.2004 17:24 0 MSDOS.SYS
21.12.2004 17:24 0 CONFIG.SYS
21.12.2004 17:20 211 BOOT.BKK
03.08.2004 22:59 251.184 ntldr
03.08.2004 22:38 47.564 NTDETECT.COM
18.08.2001 13:00 4.952 bootfont.bin
24.05.2001 12:59 162.304 UNWISE.EXE
22 Datei(en) 806.592.046 Bytes
0 Verzeichnis(se), 23.029.473.280 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A465-5CEE

Verzeichnis von C:\WINDOWS\system32

13.01.2006 15:09 2.206 wpa.dbl
08.01.2006 12:58 12.288 impborl.dll
06.01.2006 17:06 3.198 qtplugin.log
06.01.2006 13:27 356 lsprst7.tgz
06.01.2006 13:27 342 lsprst7.dll
06.01.2006 13:27 87 ssprs.tgz
06.01.2006 13:27 73 ssprs.dll
05.01.2006 16:02 264.704 KatchEm.exe
31.12.2005 22:38 23.392 nscompat.tlb
31.12.2005 22:38 16.832 amcompat.tlb
31.12.2005 22:38 2.272 w95inf16.dll
31.12.2005 22:38 4.608 w95inf32.dll
29.12.2005 03:54 280.064 gdi32.dll
23.12.2005 23:27 34.308 BASSMOD.dll
20.12.2005 21:18 7.006 jupdate-1.5.0_06-b05.log
16.12.2005 12:53 28 mcheck.mhf
03.12.2005 12:43 552 d3d8caps.dat
01.12.2005 04:31 1.492.480 shdocvw.dll
27.11.2005 13:27 3.370 uq7d5jp8.ini
27.11.2005 13:27 0 nd0p3hov.html
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
23.11.2005 15:45 6 cuatro.ini
22.11.2005 18:09 47.880 lu6k5jru.dat
22.11.2005 18:09 127.088 o6mbfd5o.dat
22.11.2005 18:09 4.728 immurpg5.dat
21.11.2005 21:19 2.715 b5mh75si.dat
16.11.2005 14:48 492.544 WRLogonNtf.dll
16.11.2005 14:48 8.192 ssiefr.EXE
16.11.2005 14:48 17.920 wrlzma.dll
10.11.2005 16:58 126.112 FNTCACHE.DAT
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
06.11.2005 20:04 98.304 CmdLineExt.dll
06.11.2005 20:03 39.992 perfc009.dat
06.11.2005 20:03 316.594 perfh007.dat
06.11.2005 20:03 311.604 perfh009.dat
06.11.2005 20:03 48.156 perfc007.dat
06.11.2005 20:03 723.744 PerfStringBackup.INI
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 152.064 cdfview.dll
20.10.2005 23:25 1.094.144 esent.dll
13.10.2005 00:11 15.584 spmsg.dll
06.10.2005 04:08 1.839.616 win32k.sys
23.09.2005 04:06 8.491.520 shell32.dll
14.09.2005 10:56 72.192 HTM1_REC.ax
14.09.2005 10:56 552.960 UNINSTAL.EXE
14.09.2005 10:56 126.976 Hmpg12.dll
14.09.2005 10:56 110.592 Prop7134.dll
14.09.2005 10:56 53.248 HT_INVER.AX
14.09.2005 10:56 126.976 HMPV2_ENC_MMX.DLL
14.09.2005 10:56 124.416 HTMPG2VI.ax
14.09.2005 10:56 31.232 htAudioT.ax
14.09.2005 10:56 53.248 HT_Asyn.ax
14.09.2005 10:56 58.368 HTMPEG2E.ax
14.09.2005 10:56 229.376 MPEG2ENC.dll
14.09.2005 10:56 77.824 ht_dein.ax
14.09.2005 10:56 32.256 lvhidsvc.exe
14.09.2005 10:56 131.072 HTMpegAE.ax
10.09.2005 02:54 2.067.968 cdosys.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A465-5CEE

Verzeichnis von C:\WINDOWS

13.01.2006 15:09 2.048 bootstat.dat
12.01.2006 21:05 578.922 WindowsUpdate.log
12.01.2006 19:59 114 setupact.log
12.01.2006 09:14 4.060.347 REGBK01.ZIP
12.01.2006 09:11 0 Lic.xxx
11.01.2006 21:44 32.600 SchedLgU.Txt
11.01.2006 21:44 50 wiaservc.log
11.01.2006 21:44 334 wiadebug.log
11.01.2006 21:43 1.058 win.ini
11.01.2006 21:43 258 system.ini
11.01.2006 21:25 0 0.log
11.01.2006 21:24 65 iTouch.ini
11.01.2006 20:26 870 WINNT32.LOG
11.01.2006 20:26 225 DHCPUPG.LOG
11.01.2006 20:26 149 wsdu.log
11.01.2006 20:26 0 setuperr.log
11.01.2006 15:36 202 NeroDigital.ini
10.01.2006 18:55 1.125 winamp.ini
06.01.2006 13:30 11.542 ModemLog_Motorola USB Modem.txt
25.12.2005 20:24 202.806 lv04.bmp
25.12.2005 17:02 202.806 lv02.bmp
25.12.2005 16:57 202.806 lv01.bmp
25.12.2005 15:49 45 Twacker.ini
25.12.2005 15:48 31 DevCap.ini
03.12.2005 12:25 3.955.694 REGBK00.ZIP
27.11.2005 15:08 0 Sti_Trace.log
23.11.2005 16:25 151 PhotoSnapViewer.INI
22.11.2005 17:43 49 lifeview.ini
16.11.2005 14:48 478.720 WRUninstall.dll
15.11.2005 15:41 69.162 ModemLog_Motorola USB Modem #2.txt
26.09.2005 15:23 120 PbkUser.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A465-5CEE

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp


11.01.2006 15:45 16.384 ~DF52A3.tmp
11.01.2006 15:26 72.192 ~e5.0001
11.01.2006 15:19 46.582 java_install_reg.log
11.01.2006 15:10 488 TWAIN.LOG
11.01.2006 15:09 156 Twunk001.MTX
11.01.2006 15:09 3 Twain001.Mtx

05.01.2006 16:02 264.704 kavss.exe
05.01.2006 16:02 264.704 optimize.exe
05.01.2006 16:02 264.704 MWAVL.exe
05.01.2006 16:02 264.704 Download.exe
05.01.2006 16:02 264.704 Getvlist.exe
05.01.2006 16:02 264.704 kavsign.exe
05.01.2006 16:02 264.704 sidefind.exe
05.01.2006 16:02 264.704 esupdate.exe
05.01.2006 16:02 264.704 viewtcp.exe
05.01.2006 16:02 264.704 isinst.exe
05.01.2006 16:02 264.704 wjENVj.exe
05.01.2006 16:02 264.704 CAjnR2.exe
02.12.2005 15:10 40.907 daily.avc
02.12.2005 15:10 11.409 avp.klb


Und Hijack

Logfile of HijackThis v1.99.1
Scan saved at 15:36:49, on 13.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [DAEMON Tools] "F:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RecSche] "C:\Programme\TVR\RecSche.exe"
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in) -
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Remote HID Service (LvHidSvc) - Philips - C:\WINDOWS\system32\lvhidsvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Install - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Install - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

#4 nur_so

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\lvhidsvc.exe

----------------------------------------------------------------------------

laden
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

----------------------------------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto



KILLBOX - Pocket KillBox
Options: Delete on Reboot --> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\optimize.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Download.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sidefind.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\isinst.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\wjENVj.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\CAjnR2.exe
C:\WINDOWS\system32\uq7d5jp8.ini
C:\WINDOWS\system32\nd0p3hov.html
C:\WINDOWS\system32\cuatro.ini
C:\WINDOWS\system32\lu6k5jru.dat
C:\WINDOWS\system32\o6mbfd5o.dat
C:\WINDOWS\system32\immurpg5.dat
C:\WINDOWS\system32\b5mh75si.dat

PC neustarten

deinstallieren/loeschen
C:\Programme\SurfAccuracy
C:\Programme\Power Scan
C:\Programme\ISTsvc

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Counterspy
http://virus-protect.org/counterspy.html
Klicke: "Run a Spyware Scan Now"
- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit