explorer.exe hat ein Problem festgestellt und muss beendet

Thema ist geschlossen!
Thema ist geschlossen!
#0
04.11.2006, 10:48
...neu hier

Beiträge: 5
#1 Hallo,

diese Meldung (explorer.exe hat ein Problem festgestellt und muss beendet werden) kommt immer, wenn ich bestimmte Ordner öffne, dann wird der Explorer geschlossen.
Ich habe ZoneAlarm, AntiVir installiert.
Hijackthis gibt dieses logfile raus.
Was kann ich tun? Danke für schnelle Antworten.

Logfile of HijackThis v1.98.2
Scan saved at 10:45:52, on 04.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\webserver\bin\win32\matlabserver.exe
c:\programme\bin\win32\matlab.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\twain_32\ARTECUSB\SCAN32.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\Torsten\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\Torsten\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [expolerlog] C:\WINDOWS\System32\discservice.exe
O4 - HKLM\..\Run: [wlconfig] "C:\PROGRA~1\WLANMO~1\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ActionScr] typeconf.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [service] C:\WINDOWS\System32\discservice.exe
O4 - HKCU\..\Run: [spoolx] C:\WINDOWS\System32\dirdata.exe %srun%
O4 - HKCU\..\Run: [KillAndClean] C:\Programme\KillAndClean\KillAndClean.exe
O4 - HKCU\..\Run: [init32] LOPTCON.exe
O4 - HKCU\..\Run: [progmen] sound64.exe
O4 - HKCU\..\Run: [barint] driver32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BE39882-2B09-40E1-B374-B44A5C5314FE}: NameServer = 85.255.115.44,85.255.112.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{20EC2B84-8446-4362-B4FD-5723B8D05100}: NameServer = 85.255.115.44,85.255.112.134
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.44 85.255.112.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{0BE39882-2B09-40E1-B374-B44A5C5314FE}: NameServer = 85.255.115.44,85.255.112.134
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.44 85.255.112.134
Seitenanfang Seitenende
04.11.2006, 17:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 futurehead

die Internetverbindung wird auf einen Server in die Ukraine weitergeleitet....
wer KillAndClean laedt, zerstoert sich den Rechner ;)


1.
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/fixwareout.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.11.2006, 17:44
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo Sabina,

hier ist der Report:

Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A48CE373A75A-6DB8-2344-C881-D41940EE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F70C9E8A031A-A748-ABE4-6A37-637D04BD{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0B799C48EE8C-908A-AD84-EF44-F688DAD1{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}773C04CF1F08-A48A-DD24-6F9E-FE542664{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0BF7FA7A2A91-BA8B-B534-1793-6BCEAD0D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}25C2E8E74B47-96BB-6E54-3756-03E6BFB6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}96BDF6C23308-C8EB-6354-68AC-637F8278{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\kwemd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\9
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\10
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\11
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\12
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\13
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\14
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\16
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\17
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\18
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\19
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Random Runs removed from HKLM
"dmewk.exe"=-
...


Hier ist das was batfind gefunden hat:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\WINDOWS\system32

04.11.2006 17:23 54.112 vsconfig.xml
01.11.2006 16:53 11.233 QuickTime.qtp
30.10.2006 11:13 1.158 wpa.dbl
29.10.2006 09:24 161.936 FNTCACHE.DAT
26.10.2006 09:54 32.768 six.exe
25.10.2006 21:15 4.212 zllictbl.dat
25.10.2006 18:03 4.934 qtplugin.log
25.10.2006 17:59 2.422 QuickTimeFavorites.qtr
25.10.2006 11:45 424.718 {6BFB6E30-6573-45E6-BB69-74B47E8E2C52}.exe
25.10.2006 11:44 45.568 {466245EF-E9F6-42DD-A84A-80F1FC40C377}.exe
25.10.2006 10:44 48.156 perfc007.dat
25.10.2006 10:44 316.594 perfh007.dat
25.10.2006 10:44 39.992 perfc009.dat
25.10.2006 10:44 311.604 perfh009.dat
25.10.2006 10:44 723.568 PerfStringBackup.INI
25.10.2006 10:40 255 spupdwxp.log
25.10.2006 10:08 308 results.txt
10.10.2006 20:14 10.331 winroot64.dal
10.10.2006 20:14 19.378 winmprot.dal
10.10.2006 20:14 23.438 winexerun.dal
10.10.2006 20:14 0 sb2run.dii
10.10.2006 20:14 23.438 winsend32.dal
07.09.2006 12:54 57.384 avsda.dll
23.08.2006 23:38 42.920 vsutil_loc0407.dll
23.08.2006 23:38 392.824 vsdatant.sys
23.08.2006 23:38 71.672 zlcommdb.dll
23.08.2006 23:38 83.960 zlcomm.dll
23.08.2006 23:38 59.384 vswmi.dll
23.08.2006 23:38 100.344 vsxml.dll
23.08.2006 23:38 440.312 vsutil.dll
23.08.2006 23:38 71.672 vsregexp.dll
23.08.2006 23:38 268.280 vspubapi.dll
23.08.2006 23:38 104.440 vsmonapi.dll
23.08.2006 23:38 157.688 vsinit.dll
23.08.2006 23:37 83.960 vsdata.dll
23.08.2006 23:37 796.584 libeay32_0.9.6l.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\DOKUME~1\Torsten\LOKALE~1\Temp

04.11.2006 17:28 409.600 ~DFFE39.tmp
04.11.2006 17:28 265.854 jusched.log
04.11.2006 15:46 1.941 ~WRD0001.doc
04.11.2006 15:46 33.280 ~WRS0002.tmp
04.11.2006 11:43 2.182 TWAIN.LOG
04.11.2006 10:12 156 Twunk001.MTX
04.11.2006 10:12 0 Twunk002.MTX
04.11.2006 10:12 2 Twain001.Mtx
04.11.2006 00:23 409.600 ~DF5050.tmp
03.11.2006 19:19 409.600 ~DFFEBA.tmp
03.11.2006 14:46 409.600 ~DFB6C3.tmp
03.11.2006 11:55 1.918 logfile.txt
03.11.2006 08:31 409.600 ~DF23C7.tmp
02.11.2006 14:03 409.600 ~DF1B97.tmp
02.11.2006 14:00 409.600 ~DF10DA.tmp
02.11.2006 13:54 409.600 ~DFFED7.tmp
02.11.2006 13:53 557.056 ~DFE9FC.tmp
02.11.2006 13:46 409.600 ~DFB8DB.tmp
01.11.2006 20:58 557.056 ~DFCDD6.tmp
01.11.2006 20:32 557.056 ~DFF16.tmp
01.11.2006 18:35 409.600 ~DF29C3.tmp
01.11.2006 18:27 409.600 ~DF5C78.tmp
01.11.2006 18:22 0 5i8104.tmp
01.11.2006 18:21 0 9mg101.tmp
01.11.2006 18:20 0 3sj100.tmp
01.11.2006 16:53 0 oyy7D.tmp
01.11.2006 15:06 0 odl4.tmp
01.11.2006 14:59 0 trj3.tmp
31.10.2006 18:19 0 yom4.tmp
31.10.2006 16:57 409.600 ~DF4B27.tmp
31.10.2006 16:09 194.216 ~WRS0001.tmp
31.10.2006 16:09 17.637 ~WRD0000.doc
31.10.2006 16:03 233.692 MSIf89ea.LOG
31.10.2006 15:56 1.376 msoC62E0.emf
31.10.2006 15:56 1.436 msoF1642.emf
31.10.2006 15:56 1.264 msoF3261.emf
31.10.2006 15:56 4.124 msoE1F1F.emf
31.10.2006 15:56 2.100 mso62C2D.emf
31.10.2006 15:56 1.856 mso3A939.emf
31.10.2006 15:56 1.368 mso9FCBC.emf
31.10.2006 15:56 1.476 msoF29FE.emf
31.10.2006 15:56 1.968 mso6EAC6.emf
31.10.2006 15:56 2.436 mso25C37.emf
31.10.2006 15:56 3.392 mso39D0B.emf
31.10.2006 15:56 13.616 mso998D8.emf
31.10.2006 11:19 409.600 ~DF75C3.tmp
31.10.2006 10:40 409.600 ~DF5049.tmp
30.10.2006 19:31 409.600 ~DFC98F.tmp
30.10.2006 18:46 0 uav12.tmp
30.10.2006 18:43 0 79o11.tmp
30.10.2006 18:43 0 ftu10.tmp
30.10.2006 18:43 0 mmpF.tmp
29.10.2006 02:26 409.600 ~DF786B.tmp
28.10.2006 19:18 409.600 ~DF56D3.tmp
28.10.2006 15:19 557.056 ~DF5E26.tmp
27.10.2006 15:28 409.600 ~DF565E.tmp
27.10.2006 13:49 409.600 ~DF3F33.tmp
27.10.2006 12:34 409.600 ~DF977A.tmp
27.10.2006 08:40 409.600 ~DF8529.tmp
26.10.2006 22:49 409.600 ~DF3224.tmp
26.10.2006 19:43 409.600 ~DF4B3E.tmp
26.10.2006 15:14 409.600 ~DF49DF.tmp
26.10.2006 10:02 557.056 ~DF3538.tmp
26.10.2006 09:02 409.600 ~DF2421.tmp
25.10.2006 22:58 409.600 ~DFE3E9.tmp
25.10.2006 21:41 54.784 gfc2CE4.GOX
25.10.2006 21:41 86.016 gfc2CE3.GOX
25.10.2006 21:16 409.600 ~DF9D09.tmp
25.10.2006 20:46 409.600 ~DF48CA.tmp
25.10.2006 18:04 409.600 ~DFF39D.tmp
25.10.2006 17:38 0 x2w84.tmp
25.10.2006 17:36 0 v8n7F.tmp
25.10.2006 17:10 0 xej4F.tmp
25.10.2006 17:09 0 5rr4E.tmp
25.10.2006 16:26 409.600 ~DFC1B6.tmp
25.10.2006 12:47 797.676 IMT6A.xml
25.10.2006 12:47 426 IMT69.xml
25.10.2006 12:47 2.036 IMT68.xml
25.10.2006 12:46 2.036 IMT65.xml
25.10.2006 12:46 426 IMT66.xml
25.10.2006 12:46 797.676 IMT67.xml
25.10.2006 12:46 797.676 IMT64.xml
25.10.2006 12:46 2.036 IMT62.xml
25.10.2006 12:46 426 IMT63.xml
25.10.2006 12:10 350.595 1. Vorlesung Lehmann.pdf
25.10.2006 11:44 447 pmqE.tmp
25.10.2006 11:44 793.172 tmp.xpi
25.10.2006 11:29 729 ISPackFiles.ini
19.09.2006 21:41 31.223 8453.dmp
19.09.2006 21:38 1.638.400 ~DF30E0.tmp
09.09.2006 16:59 31.223 633E.dmp
08.09.2006 21:21 17.324 SIntf32.dll
08.09.2006 21:21 40.448 CmdLineExt03.dll
08.09.2006 21:21 12.305 SIntf16.dll
08.09.2006 21:21 22.068 SIntfNT.dll
08.09.2006 19:34 15.872 Fadpu16E.sys
08.09.2006 10:53 16.384 ~DFC844.tmp
08.09.2006 10:46 16.384 ~WRF0001.tmp
05.09.2006 12:05 13.325 trash.htm

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\WINDOWS

04.11.2006 17:37 10.278 RTacDbg.txt
04.11.2006 17:37 6.075 setupapi.log
04.11.2006 17:23 0 0.log
04.11.2006 17:23 159 wiadebug.log
04.11.2006 17:23 2.048 bootstat.dat
04.11.2006 17:22 1.380.801 WindowsUpdate.log
04.11.2006 17:22 32.626 SchedLgU.Txt
04.11.2006 17:22 50 wiaservc.log
04.11.2006 15:22 54.156 QTFont.qfn
04.11.2006 11:43 11.639 Dusb3ar.ini
04.11.2006 11:43 2.679 Ausba3.ini
03.11.2006 13:45 1.072 wmsetup.log
01.11.2006 13:10 182 LEXSTAT.INI
25.10.2006 11:48 1.409 QTFont.for
25.10.2006 11:44 4.675 mozver.dat
25.10.2006 10:51 173 wininit.ini
25.10.2006 10:43 31.122 spupdsvc.log
25.10.2006 10:42 316.640 WMSysPr9.prx
25.10.2006 10:42 84.752 iis6.log
25.10.2006 10:42 85.882 ntdtcsetup.log
25.10.2006 10:42 220.873 tsoc.log
25.10.2006 10:42 28.004 msgsocm.log
25.10.2006 10:42 15.173 ocmsn.log
25.10.2006 10:42 541.865 FaxSetup.log
25.10.2006 10:38 221.381 KB910437.log
25.10.2006 10:38 1.393 imsins.BAK
25.10.2006 10:38 24.392 updspapi.log
25.10.2006 10:38 231.070 KB912919.log
25.10.2006 10:38 227.568 KB896424.log
25.10.2006 10:38 229.287 KB900725.log
25.10.2006 10:37 221.973 KB905749.log
25.10.2006 10:37 220.949 KB905414.log
25.10.2006 10:37 219.232 KB901017.log
25.10.2006 10:37 230.985 KB902400.log
25.10.2006 10:37 213.538 KB896423.log
25.10.2006 10:37 212.615 KB899587.log
25.10.2006 10:37 211.518 KB899591.log
25.10.2006 10:37 212.419 KB893756.log
25.10.2006 10:36 211.119 KB896358.log
25.10.2006 10:36 217.110 KB890859.log
25.10.2006 10:36 209.815 KB901214.log
25.10.2006 10:36 208.445 KB893066.log
25.10.2006 10:36 207.760 KB896428.log
25.10.2006 10:36 208.423 KB896422.log
25.10.2006 10:36 209.165 KB890046.log
25.10.2006 10:36 207.166 KB885835.log
25.10.2006 10:35 201.739 KB888113.log
25.10.2006 10:35 201.814 KB891781.log
25.10.2006 10:35 201.917 KB888302.log
25.10.2006 10:35 201.446 KB885836.log
25.10.2006 10:35 201.273 KB873339.log
25.10.2006 10:30 200 cmsetacl.log
25.10.2006 10:29 4.285 sessmgr.setup.log
25.10.2006 10:14 605 medctroc.Log
05.09.2006 12:19 14.108 ModemLog_SmartUSB56 Modem #3.txt
22.08.2006 17:02 10.706 ModemLog_SmartUSB56 Modem.txt
22.08.2006 17:01 11.106 ModemLog_SmartUSB56 Modem #2.txt
04.08.2006 17:51 302 system.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\WINDOWS\Temp

04.11.2006 17:23 256 ZLT04e33.TMP
04.11.2006 17:23 256 ZLT04e36.TMP
02.11.2006 14:00 256 ZLT016c7.TMP
02.11.2006 14:00 256 ZLT016b4.TMP
02.11.2006 13:54 256 ZLT01254.TMP
02.11.2006 13:54 256 ZLT0124d.TMP
01.11.2006 18:27 256 ZLT014df.TMP
01.11.2006 18:27 256 ZLT014dc.TMP
31.10.2006 12:42 256 ZLT03ebd.TMP
31.10.2006 12:42 256 ZLT03eac.TMP
31.10.2006 10:28 256 ZLT057f3.TMP
31.10.2006 10:28 256 ZLT057e6.TMP
28.10.2006 15:18 256 ZLT01e2f.TMP
28.10.2006 15:18 256 ZLT01e32.TMP
19.09.2006 21:32 256 ZLT054d0.TMP
19.09.2006 21:28 256 ZLT051f1.TMP
19.09.2006 21:21 256 ZLT04cba.TMP

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 130C-10DF

Verzeichnis von C:\

04.11.2006 17:53 0 sys.txt
04.11.2006 17:52 467 down.txt
04.11.2006 17:52 1.579 tmp.txt
04.11.2006 17:51 10.498 system.txt
04.11.2006 17:50 5.315 systemtemp.txt
04.11.2006 17:45 98.079 system32.txt
04.11.2006 17:23 536.399.872 hiberfil.sys
04.11.2006 17:23 805.306.368 pagefile.sys
25.10.2006 10:30 211 boot.ini
25.10.2006 10:21 47.564 NTDETECT.COM
25.10.2006 10:21 251.184 ntldr
Dieser Beitrag wurde am 04.11.2006 um 17:59 Uhr von futurehead editiert.
Seitenanfang Seitenende
04.11.2006, 20:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 futurehead

W32.Sober.I@mm
http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.sober.i@mm.html

Entfernung mit dem W32.Sober-Entfernungsprogramm
Symantec Security Response hat ein Programm zur Entfernung von W32.Sober.I@mm-Infektionen entwickelt. Das Entfernungsprogramm ist die einfachste Möglichkeit, um diese Bedrohung zu beseitigen, und sollte daher als Erstes ausprobiert werden.
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.sober.removal.tool.html

««
Deaktivieren Sie die Systemwiederherstellung (Windows Me/XP).
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
__________________________________________________________

««
CleanUp anwenden
http://virus-protect.org/cleanup.html

««
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\six.exe
C:\WINDOWS\system32\dmewk.exe
C:\WINDOWS\System32\discservice.exe
C:\WINDOWS\system32\{6BFB6E30-6573-45E6-BB69-74B47E8E2C52}.exe
C:\WINDOWS\system32\{466245EF-E9F6-42DD-A84A-80F1FC40C377}.exe
C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\kc.tmp
C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\wo.tmp
C:\WINDOWS\System32\dirdata.exe
C:\WINDOWS\system32\winroot64.dal
C:\WINDOWS\system32\winmprot.dal
C:\WINDOWS\system32\winexerun.dal
C:\WINDOWS\system32\sb2run.dii
C:\WINDOWS\system32\winsend32.dal
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFFE39.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DF5050.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFFEBA.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFB6C3.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\5i8104.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\9mg101.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\3sj100.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\oyy7D.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\odl4.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\trj3.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\yom4.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DF4B27.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\uav12.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\79o11.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\ftu10.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\mmpF.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\gfc2CE4.GOX
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\gfc2CE3.GOX
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\x2w84.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\v8n7F.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\xej4F.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\5rr4E.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFC1B6.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\pmqE.tmp
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\tmp.xpi
C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\8453.dmp

Folders to delete:
C:\Programme\KillAndClean

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was nach neustart erscheint hier

**
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [expolerlog] C:\WINDOWS\System32\discservice.exe
O4 - HKLM\..\Run: [ActionScr] typeconf.exe

O4 - HKCU\..\Run: [service] C:\WINDOWS\System32\discservice.exe
O4 - HKCU\..\Run: [spoolx] C:\WINDOWS\System32\dirdata.exe %srun%

O4 - HKCU\..\Run: [KillAndClean] C:\Programme\KillAndClean\KillAndClean.exe
O4 - HKCU\..\Run: [init32] LOPTCON.exe
O4 - HKCU\..\Run: [progmen] sound64.exe
O4 - HKCU\..\Run: [barint] driver32.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0BE39882-2B09-40E1-B374-B44A5C5314FE}: NameServer = 85.255.115.44,85.255.112.134
O17 - HKLM\System\CCS\Services\Tcpip\..\{20EC2B84-8446-4362-B4FD-5723B8D05100}: NameServer = 85.255.115.44,85.255.112.134
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.44 85.255.112.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{0BE39882-2B09-40E1-B374-B44A5C5314FE}: NameServer = 85.255.115.44,85.255.112.134
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.44 85.255.112.134
PC neustarten

Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken

85.255.115.44 85.255.112.134 - muss raus!

1. Click Start > Control Panel
2. Double-click Network Connections.
____________________________________________________________________

««
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

««
scanne solange , mit Neustart zwischen durch, bis nichts mehr gefunden wird:
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

________________________________________________________
««
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.11.2006 um 20:17 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.11.2006, 20:56
...neu hier

Themenstarter

Beiträge: 5
#5 Hi,

hier das log von avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\lorudkph

*******************

Script file located at: \??\C:\umeoqrbj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\six.exe deleted successfully.


File C:\WINDOWS\system32\dmewk.exe not found!
Deletion of file C:\WINDOWS\system32\dmewk.exe failed!

Could not process line:
C:\WINDOWS\system32\dmewk.exe
Status: 0xc0000034



File C:\WINDOWS\System32\discservice.exe not found!
Deletion of file C:\WINDOWS\System32\discservice.exe failed!

Could not process line:
C:\WINDOWS\System32\discservice.exe
Status: 0xc0000034

File C:\WINDOWS\system32\{6BFB6E30-6573-45E6-BB69-74B47E8E2C52}.exe deleted successfully.
File C:\WINDOWS\system32\{466245EF-E9F6-42DD-A84A-80F1FC40C377}.exe deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\kc.tmp deleted successfully.


File C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\wo.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\wo.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\wo.tmp
Status: 0xc0000034



File C:\WINDOWS\System32\dirdata.exe not found!
Deletion of file C:\WINDOWS\System32\dirdata.exe failed!

Could not process line:
C:\WINDOWS\System32\dirdata.exe
Status: 0xc0000034

File C:\WINDOWS\system32\winroot64.dal deleted successfully.
File C:\WINDOWS\system32\winmprot.dal deleted successfully.
File C:\WINDOWS\system32\winexerun.dal deleted successfully.
File C:\WINDOWS\system32\sb2run.dii deleted successfully.
File C:\WINDOWS\system32\winsend32.dal deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFFE39.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DF5050.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFFEBA.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFB6C3.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\5i8104.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\9mg101.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\3sj100.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\oyy7D.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\odl4.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\trj3.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\yom4.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DF4B27.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\uav12.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\79o11.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\ftu10.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\mmpF.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\gfc2CE4.GOX deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\gfc2CE3.GOX deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\x2w84.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\v8n7F.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\xej4F.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\5rr4E.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFC1B6.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\pmqE.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\tmp.xpi deleted successfully.
File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\8453.dmp deleted successfully.


Folder C:\Programme\KillAndClean not found!
Deletion of folder C:\Programme\KillAndClean failed!

Could not process line:
C:\Programme\KillAndClean
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
05.11.2006, 02:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 hast du das entfernungstool (Sober) von Symantec angewendet ?

arbeite alles weitere ab, poste den scanreport vom Virenscanner-F-Secure Online + das neue log vom hijackthis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.11.2006, 09:51
...neu hier

Themenstarter

Beiträge: 5
#7 Hi,

das Symantec-Entfernungstool habe ich nicht verwendet, alles andere habe ich ausgeführt. Nur den Scanreport von F-Secure habe ich nicht gefunden, hier ist das neue hijackthis-logfile:

Logfile of HijackThis v1.98.2
Scan saved at 09:48:31, on 05.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\webserver\bin\win32\matlabserver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\WLANMO~1\wlconfig.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [wlconfig] "C:\PROGRA~1\WLANMO~1\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
Seitenanfang Seitenende
05.11.2006, 13:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
wende das Proggie an, damit der Soberwurm W32.Sober.I@mm geloescht wird
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.sober.removal.tool.html

2.
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.11.2006, 16:06
...neu hier

Themenstarter

Beiträge: 5
#9 Hallo Sabina,

du hast mir sehr geholfen. Explorer macht keine Probleme mehr.
Soberwurm wurde allerdings nicht entdeckt.
Seitenanfang Seitenende