Pc 100% auslastung durch Virus ? iexplore.exe / winlogon.exe

#0
04.01.2008, 01:06
Member

Beiträge: 16
#1 Hi,
habe seid einigen tagen die datei "iexplore.exe" 2 mal in meinen Prozessen, eine der beiden "stört" eigentlich nicht die andere allerdings frisst immer 100% speicher und cpu auslastung so das kein arbeiten/spielen mehr möglich ist.
Wenn ich eine der beiden lösche stellt sie sich sofort wieder her (es sei denn ich lösche sie wiederhohlt sehr schnell hintereinander abwechselnd dann bleiben sie erstmal weg)

ich denke das das ganze etwas mit dem ordner "C:\Programme\MSN Gaming Zone"
zu tun hat. Er lässt sich nicht löschen oder umbenennen (im abgesicherten modus nicht auffindbar) löscht man die dateien im Ordner stellen sie sich wieder her (ich denke durch "winlogon.exe" (prozesse) die dann nämlich zu arbeiten beginnt während sich die dateien wiederherstellen).

da ich mich ansonsten nicht so mit pc´s auskenne wäre ich über antworten sehr dankbar

Danke schon im voraus euer Simon
Seitenanfang Seitenende
04.01.2008, 10:30
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo,

«
wende Combofix an und kopiere hier den Report der erscheint
http://www.virus-protect.org/artikel/tools/combofix.html

«
wende HijackThis an und kopiere auch den Report hier
http://www.virus-protect.org/hjtkurz.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
04.01.2008, 15:53
Member

Themenstarter

Beiträge: 16
#3 So hier is das von Combofix:

ComboFix 08-01-04.1 - The Big Lewbowski 2008-01-04 8:42:02.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.246 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\The Big Lewbowski\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-12-04 bis 2008-01-04 ))))))))))))))))))))))))))))))
.

2008-01-04 08:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-03 17:02 . 2006-05-10 16:42 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-03 17:02 . 2006-05-10 17:36 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-01-03 17:02 . 2006-05-10 17:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-03 17:02 . 2006-05-10 17:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-03 17:02 . 2006-05-10 17:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-03 17:02 . 2007-09-01 22:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-03 17:02 . 2006-05-10 17:36 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-03 17:02 . 2006-05-10 17:36 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-12-31 08:12 . 2007-12-31 08:12 <DIR> d-------- C:\Programme\HP
2007-12-30 03:11 . 2007-12-30 03:11 0 --a------ C:\WINDOWS\LCDMedia.INI
2007-12-27 06:59 . 2007-12-27 06:59 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\ICQ Toolbar

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-03 15:33 --------- d-----w C:\Programme\Steam
2008-01-03 15:29 --------- d-----w C:\Dokumente und Einstellungen\The Big Lewbowski\Anwendungsdaten\Size proxy site
2008-01-03 15:29 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Grid Blue Memo Site

2007-12-31 07:28 --------- d-----w C:\Dokumente und Einstellungen\Anna-Maria\Anwendungsdaten\Lavasoft
2007-12-31 07:24 --------- d-----w C:\Programme\Google
2007-12-31 07:21 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-31 05:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-12-30 03:01 --------- d-----w C:\Programme\PartyGaming
2007-12-30 02:20 --------- d-----w C:\Dokumente und Einstellungen\The Big Lewbowski\Anwendungsdaten\Hamachi
2007-12-25 17:17 --------- d-----w C:\Programme\World of Warcraft
2007-12-16 17:09 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-11-14 20:17 --------- d-----w C:\Dokumente und Einstellungen\The Big Lewbowski\Anwendungsdaten\Xfire
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-10 23:34 --------- d-----w C:\Dokumente und Einstellungen\The Big Lewbowski\Anwendungsdaten\BitTorrent
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2006-02-19 01:28 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"funk play"="C:\DOKUME~1\THEBIG~1\ANWEND~1\SIZEPR~1\Internet that second.exe" [2008-01-03 16:29 421376]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-07-27 16:01 68096 C:\WINDOWS\SOUNDMAN.EXE]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 20:05 344064]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2006-05-10 12:01 233512]
"memo site kind that"="C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Grid Blue Memo Site\Pile Long.exe" [2008-01-03 18:09 2134016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\Anna Maria\Startmen\Programme\Autostart\
PowerReg Scheduler.exe [2006-03-27 19:31:29]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^HP Photosmart Premier – Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\HP Photosmart Premier – Schnellstart.lnk
backup=C:\WINDOWS\pss\HP Photosmart Premier – Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^HPZRCV01.LNK]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\HPZRCV01.LNK
backup=C:\WINDOWS\pss\HPZRCV01.LNKCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Slim Multimedia Keyboard.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Slim Multimedia Keyboard.lnk
backup=C:\WINDOWS\pss\Slim Multimedia Keyboard.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^TrayMin300.exe.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\TrayMin300.exe.lnk
backup=C:\WINDOWS\pss\TrayMin300.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Anna-Maria^Startmenü^Programme^Autostart^OpenOffice.org 1.1.4.lnk]
path=C:\Dokumente und Einstellungen\Anna-Maria\Startmenü\Programme\Autostart\OpenOffice.org 1.1.4.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 1.1.4.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^The Big Lewbowski^Startmenü^Programme^Autostart^Xfire.lnk]
path=C:\Dokumente und Einstellungen\The Big Lewbowski\Startmenü\Programme\Autostart\Xfire.lnk
backup=C:\WINDOWS\pss\Xfire.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]
C:\WINDOWS\VM_STI.EXE Philips SPC 200NC PC Camera

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DTVR Agent]
C:\Programme\ADS Tech\INSTANT TV DVB-T\Scheduled.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe /startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
C:\Programme\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
C:\Programme\MessengerPlus! 3\MsgPlus.exe /WinStart

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
C:\Programme\MSN Messenger\msnmsgr.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\razer]
2005-09-06 10:52 155648 --a------ C:\Programme\Razer\Copperhead\razerhid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
C:\Programme\Steam\Steam.exe -silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Programme\Winamp\winampa.exe

R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 16:31]
R1 kbfilter;Keyboard Filter Driver;C:\WINDOWS\system32\drivers\kbfilter.sys [2001-11-27 14:07]
R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2006-05-19 20:22]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2006-09-22 18:15]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 19:36]
S2 CX2388X;ADS 2388x Video Capture;C:\WINDOWS\system32\drivers\cx88cap.sys [2005-05-24 12:18]
S2 CX88CROSS;ADS 2388x Crossbar;C:\WINDOWS\system32\drivers\CX88BAR.sys [2004-01-09 11:54]
S2 CX88TS;ADS DVBT 2388x Transport Stream Capture;C:\WINDOWS\system32\drivers\cx88ts.sys [2005-05-24 12:18]
S3 CXAVXBAR;ADS 2388x AVStream Crossbar;C:\WINDOWS\system32\drivers\cxavxbar.sys [2005-05-24 12:18]
S3 CXBDATUNE;ADS DVB BDA Tuner/Demod;C:\WINDOWS\system32\drivers\cxBDAtun.sys [2005-05-24 12:19]
S3 gsplittm;gsplittm;C:\DOKUME~1\THEBIG~1\LOKALE~1\Temp\gsplittm.sys [2004-04-17 20:50]
S3 Razerlow;Razer Copperhead Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys [2005-08-12 09:11]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2008-01-03 17:00:00 C:\WINDOWS\Tasks\AF0330C59184A2B5.job"
- c:\dokume~1\thebig~1\anwend~1\sizepr~1\flap license ping.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-04 08:46:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-04 8:47:28
.
2007-12-23 17:43:26 --- E O F ---




------------------------------------------------------------


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:02:01, on 04.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\The Big Lewbowski\Desktop\Pc forum\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [memo site kind that] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Grid Blue Memo Site\Pile Long.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [funk play] C:\DOKUME~1\THEBIG~1\ANWEND~1\SIZEPR~1\Internet that second.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F9010E37-5356-4D68-9B77-E2397B2A8F4A} (RemoteConnection.RemoteCtl) - https://www.aino-test.de/aino/RemoteConnection.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Messenger USN Journal Reader-Service für freigegebene Ordner (usnjsvc) - Unknown owner - C:\Programme\MSN Messenger\usnsvc.exe (file missing)

--
End of file - 5484 bytes


------------------------------------


hier das von listen.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E403-C879

Verzeichnis von C:\Programme

03.01.2008 16:48 <DIR> .
03.01.2008 16:48 <DIR> ..
22.03.2006 19:58 <DIR> AMD
20.07.2006 09:24 <DIR> AntiVir PersonalEdition Classic
22.03.2006 20:00 <DIR> ATI Technologies
22.03.2006 19:23 <DIR> ComPlus Applications
12.11.2006 15:03 <DIR> DTP
03.02.2007 17:13 <DIR> dtp young
31.10.2006 16:38 <DIR> EA GAMES
29.07.2007 16:55 <DIR> Eidos
09.06.2007 20:58 <DIR> framilyFotobuch
31.12.2007 08:20 <DIR> Gemeinsame Dateien
31.12.2007 08:24 <DIR> Google
26.06.2006 17:55 <DIR> heureka
31.12.2007 08:12 <DIR> HP
15.12.2007 22:38 <DIR> Internet Explorer
05.08.2006 01:27 <DIR> IrfanView
16.06.2006 14:33 <DIR> Maxis
22.03.2006 19:26 <DIR> microsoft frontpage
22.03.2006 19:23 <DIR> Movie Maker
04.01.2008 08:35 <DIR> Mozilla Firefox
22.03.2006 19:22 <DIR> MSN Gaming Zone
22.03.2006 19:24 <DIR> NetMeeting
16.09.2006 14:10 <DIR> Nikki
22.03.2006 20:33 <DIR> Oetinger
22.03.2006 19:24 <DIR> Online-Dienste
28.06.2007 15:03 <DIR> OpenOffice.org1.1.4
13.06.2007 16:17 <DIR> Outlook Express
30.12.2007 04:01 <DIR> PartyGaming
21.07.2006 19:42 <DIR> Philips
20.07.2006 09:10 <DIR> Razer
12.12.2006 20:56 <DIR> Singles2
03.01.2008 16:33 <DIR> Steam
26.03.2006 11:29 <DIR> SYBEX
11.10.2006 16:57 <DIR> Terzio
24.03.2006 12:15 <DIR> VideoLAN
27.08.2007 14:09 <DIR> Windows Media Connect 2
27.08.2007 14:09 <DIR> Windows Media Player
22.03.2006 19:22 <DIR> Windows NT
13.01.2007 12:41 <DIR> WinRAR
25.12.2007 18:17 <DIR> World of Warcraft
22.03.2006 19:26 <DIR> xerox
0 Datei(en) 0 Bytes
42 Verzeichnis(se), 46.998.540.288 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E403-C879

Verzeichnis von C:\Dokumente und Einstellungen\The Big Lewbowski\Lokale Einstellungen\Anwendungsdaten

29.09.2007 19:51 <DIR> Adobe
13.09.2007 14:37 <DIR> ApplicationHistory
30.12.2007 03:17 24.576 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
25.06.2007 17:02 150 fusioncache.dat
11.11.2007 12:59 20.568 GDIPFONTCACHEV1.DAT
15.06.2007 18:53 <DIR> Google
25.06.2007 17:03 <DIR> HP
09.07.2007 19:57 <DIR> Identities
25.06.2007 17:04 <DIR> IsolatedStorage
12.10.2007 20:02 <DIR> Logitech
14.11.2007 21:01 <DIR> Microsoft
14.06.2007 17:03 <DIR> Mozilla
17.09.2007 14:56 <DIR> Steam
3 Datei(en) 45.294 Bytes
10 Verzeichnis(se), 46.998.540.288 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E403-C879

Verzeichnis von C:\Dokumente und Einstellungen\The Big Lewbowski\Anwendungsdaten

29.09.2007 19:51 <DIR> Adobe
11.11.2007 00:34 <DIR> BitTorrent
23.07.2007 23:53 <DIR> Electronic Arts
15.06.2007 18:53 <DIR> Google
30.12.2007 03:20 <DIR> Hamachi
22.08.2007 13:06 <DIR> HP
15.06.2007 18:53 <DIR> ICQ Toolbar
14.06.2007 17:03 <DIR> Identities
14.06.2007 18:26 <DIR> Macromedia
14.06.2007 17:03 <DIR> Mozilla
03.01.2008 16:29 <DIR> Size proxy site
07.10.2007 13:42 <DIR> Skype
10.11.2007 16:30 <DIR> Sun
08.08.2007 22:14 <DIR> Talkback
08.08.2007 20:33 <DIR> teamspeak2
24.07.2007 02:56 <DIR> vlc
14.11.2007 21:17 <DIR> Xfire
0 Datei(en) 0 Bytes
17 Verzeichnis(se), 46.998.536.192 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E403-C879

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

16.04.2006 11:22 <DIR> Kiddinx
22.03.2006 20:40 <DIR> QuickTime
27.03.2006 17:03 <DIR> Symantec
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 46.998.536.192 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E403-C879

Verzeichnis von C:\Programme\Gemeinsame Dateien

31.12.2007 08:20 <DIR> .
31.12.2007 08:20 <DIR> ..
31.12.2007 06:53 <DIR> Adobe
15.06.2007 11:23 <DIR> Blizzard Entertainment
30.09.2007 12:54 <DIR> Dienste
05.06.2006 12:59 <DIR> DirectX
30.09.2007 13:41 <DIR> Hewlett-Packard
30.09.2007 13:44 <DIR> HP
22.03.2006 19:58 <DIR> InstallShield
20.07.2006 16:46 <DIR> InterVideo
21.07.2006 20:47 <DIR> Microsoft Shared
22.03.2006 19:23 <DIR> MSSoap
23.03.2006 19:16 <DIR> ODBC
30.09.2007 13:45 <DIR> Sonic Shared
23.03.2006 19:16 <DIR> SpeechEngines
13.06.2007 16:17 <DIR> System
0 Datei(en) 0 Bytes
16 Verzeichnis(se), 46.998.536.192 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E403-C879

Verzeichnis von C:\Windows\tasks
Dieser Beitrag wurde am 04.01.2008 um 16:13 Uhr von Simon aus HH editiert.
Seitenanfang Seitenende
04.01.2008, 16:06
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 Simon aus HH

dachte ich mir.. der Swizzor-Trojaner - wahrscheinlich hast du netpumper oder anderen Muell geladen ;)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.01.2008, 00:00
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#5 HijackThis:

Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked.

«

Zitat

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)

O4 - HKLM\..\Run: [memo site kind that] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Grid Blue Memo Site\Pile Long.exe

O4 - HKCU\..\Run: [funk play] C:\DOKUME~1\THEBIG~1\ANWEND~1\SIZEPR~1\Internet that second.exe


««
lies dir durch, wie man den Avenger anwendet:
http://www.virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\Tasks\AF0330C59184A2B5.job

Folders to delete:
C:\Programme\Steam
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Grid Blue Memo Site
C:\Dokumente und Einstellungen\The Big Lewbowski\Anwendungsdaten\Size proxy site
Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.01.2008, 15:54
Member

Themenstarter

Beiträge: 16
#6 So hier das von Avenger:


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yttendrs

*******************

Script file located at: \??\C:\WINDOWS\system32\ftlbubsx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\Tasks\AF0330C59184A2B5.job deleted successfully.
Folder C:\Programme\Steam deleted successfully.
Folder C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Grid Blue Memo Site deleted successfully.
Folder C:\Dokumente und Einstellungen\The Big Lewbowski\Anwendungsdaten\Size proxy site deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



habe allerdings immernoch eine iexplore.exe im taskmanager die frisst allerdings keine cpu auslastung bloß 30.584k speicher.
is das jetzt ne normale oder auch was schlechtes ?
edit: habe jetzt firewall und so wieder angeschmissen iexplore.exe ist auf 15.788k speicher runtergegangen
2tes edit: wenn ich den internet explorer schließe verschwindet auch die iexplore.exe schein wohl nich böses zu sein
Dieser Beitrag wurde am 05.01.2008 um 16:20 Uhr von Simon aus HH editiert.
Seitenanfang Seitenende
05.01.2008, 16:24
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#7 poste bitte das neue Log vom HijackThis ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.01.2008, 17:22
Member

Themenstarter

Beiträge: 16
#8 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:21:18, on 05.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\The Big Lewbowski\Desktop\Pc forum\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [funk play] C:\DOKUME~1\THEBIG~1\ANWEND~1\SIZEPR~1\Internet that second.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F9010E37-5356-4D68-9B77-E2397B2A8F4A} (RemoteConnection.RemoteCtl) - https://www.aino-test.de/aino/RemoteConnection.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Messenger USN Journal Reader-Service für freigegebene Ordner (usnjsvc) - Unknown owner - C:\Programme\MSN Messenger\usnsvc.exe (file missing)

--
End of file - 4659 bytes

und und und ? ;)
Seitenanfang Seitenende
05.01.2008, 17:51
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#9 ««
setze im Hijackthis ein Häkchen vor: + fixen

Zitat

O4 - HKCU\..\Run: [funk play] C:\DOKUME~1\THEBIG~1\ANWEND~1\SIZEPR~1\Internet that second.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
+
Rechner neustarten

**
scanne im normalmodus mit sophos (wähle option 6) + poste hier den report
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.01.2008, 18:23
Member

Themenstarter

Beiträge: 16
#10 wo soll ich option 6 auswählen ? ich kann zwischen 3 sachen wählen sagt mir das programm 1 2 oder 3
Seitenanfang Seitenende
05.01.2008, 18:28
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#11 ««
http://www.virus-protect.org/artikel/tools/sdfix.html

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen

Sophos
bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.01.2008, 19:21
Member

Themenstarter

Beiträge: 16
#12 Sophos Anti-Virus
Version 4.25.0 [Win32/Intel]
Virus data version 4.25E, January 2008
Includes detection for 332342 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 11:38:49, System date 05 January 2008
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Aborted checking C:\Dokumente und Einstellungen\Anna-Maria\Desktop\puuupsa!!!!!\kacke die ich nicht brauche\Simons Daten\sum 2\0compressed.zip - appears to be a 'zip bomb'

1 boot sector swept.
35125 files swept in 40 minutes and 0 seconds.
1 error was encountered.
No viruses were discovered.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
05.01.2008, 19:23
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 o.k.
nun noch mal das neue Log vom HijackThis - ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
05.01.2008, 20:30
Member

Themenstarter

Beiträge: 16
#14 und hier das neue HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:28:43, on 05.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\The Big Lewbowski\Desktop\Pc forum\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F9010E37-5356-4D68-9B77-E2397B2A8F4A} (RemoteConnection.RemoteCtl) - https://www.aino-test.de/aino/RemoteConnection.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Messenger USN Journal Reader-Service für freigegebene Ordner (usnjsvc) - Unknown owner - C:\Programme\MSN Messenger\usnsvc.exe (file missing)

--
End of file - 4275 bytes


und saubär ? ;)
Seitenanfang Seitenende
05.01.2008, 20:38
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#15 sehr schön ;) bist entlassen ;)
Alle Gute für Compi + dich.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: