c.exe, b.exe auf dem System

#1 Hallo liebe Protecteure :-)

leider habe ich durch einen Schnellschuß mein System versaut - ja ich war doof und werde es nie wieder tun *reuigschau* - jetzt benötige ich eure Hilfe.

Ich bin gerade dabei die gefordeten Scans durchzuführen und dann die Logfiles hier einzustellen.

Soll ich die Logfiles als Anhang einbinden oder direkt per copy ´n paste

#2 Hallo und Willkommen

Direkt reinkopieren

#3 Hallo Swiss danke für die schnelle Antwort.

So hier das Logfile nahc dem Malwarebytes´s Scan

Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3495
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

05.01.2010 11:55:55
mbam-log-2010-01-05 (11-55-55).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 104291
Laufzeit: 5 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PUT2VIDQLG (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\B1RQJ7YJ0U (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\put2vidqlg (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kr_done1 (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.


Ich starte durch und liefere dann die Reporte von Gmer und Hijackthis.

Gruß Verzweifelter

#4 Vorsicht beim Durchstarten

#5 Hallo,

jetzt bin ich mal richtig am verzweifeln. Germ und AVG scheinen sich nicht zu mögen ich habe di ganze Zeit versucht einen Scan mit Germ durchzuführen - dabei habe ich eine CPU-Auslastung von konstant 100% - verursacht durch AVG und Lass (oder ähnlich)

Hier mal mein Hijack this Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:28:58, on 05.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
D:\Programme\AVG\AVG9\avgchsvx.exe
C:\windows\system32\spoolsv.exe
D:\Programme\AVG\AVG9\avgrsx.exe
D:\Programme\AVG\AVG9\avgcsrvx.exe
C:\windows\Explorer.EXE
D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
D:\Programme\Java\jre6\bin\jusched.exe
C:\windows\SOUNDMAN.EXE
D:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\windows\system32\ctfmon.exe
D:\Programme\AVG\AVG9\avgwdsvc.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\DAEMON Tools Lite\DTLite.exe
D:\Programme\RocketDock\RocketDock.exe
C:\windows\system32\svchost.exe
D:\Programme\TomTom HOME 2\TomTomHOMEService.exe
D:\Programme\AVG\AVG9\avgemc.exe
D:\Programme\AVG\AVG9\avgnsx.exe
C:\windows\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
D:\Programme\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\imapi.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Programme\AVG\AVG9\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG9_TRAY] D:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: RocketDock.lnk = D:\Programme\RocketDock\RocketDock.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Programme\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\windows\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - D:\Programme\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - D:\Programme\AVG\AVG9\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TomTomHOMEService - TomTom - D:\Programme\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 4761 bytes

Ist Germ notwendig - sollte ich meinen AVG dazu deaktivieren? Muss Germ über alle Laufwerke oder nur über die Systempartition laufen ?

Grüße Verzweifelter

#6 ich meinte natürlich grem nicht germ

#7 in wahrheit meinst du gmer, :-) deaktiviere avg dazu und lasse es über alle laufwerke prüfen, schalte alle sonstigen laufenden Programme ab, arbeite am besten nicht am pc.

#8 keine chance cpu knallt auf 100%

naja hilft wohl nichts ich setzte das system neu auf - glücklicherweise ist kaum was drauf.

danke für die hilfe

#9 Dann ist es sicherlich sinnvoller. Falls Du beim Neuaufsetzen Probleme hast, dann melde Dich.