Seite 3 von 5 ErsteErste 12345 LetzteLetzte
Ergebnis 21 bis 30 von 45

Thema: Notebook gehijackt ??

  1. 04.08.2010, 23:07 #21
    kira
    kira ist offline
    Moderator Team-Mitglied Avatar von kira
    Registriert seit
    28.03.2006
    Ort
    Wien/Sprachen: Deutsch-Ungarisch
    Beiträge
    28.334

    AW: Notebook gehijackt ??

    1.
    Lavasoft Ad-Aware - bitte total abstellen/deaktivieren!
    geht über Dienste auch: "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK"

    2.
    kannst eventuell auch über abgesicherten Modus ins Internet gehen und das Programm installieren falls nötig:
    abgesicherten Modus (Link bitte unbedingt anklicken & lesen!)
    Drücke beim Hochfahren des rechners [F8] (bei win xp) solange, bis du eine auswahlmöglichkeit hast:

    - Abgesicherter Modus
    - Abgesicherter Modus mit Netzwerktreibern
    - Abgesicherter Modus mit Eingabeaufforderung

    3.
    Lade Malwarebytes Anti-Malware (ca. 2 MB) von einem dieser Downloadspiegel herunter:
    • Anwendbar auf Windows 2000, XP, Vista und Windows 7.
    • Installiere das Programm in den vorgegebenen Pfad.
    • Denke daran, bei Vista das Programm als Admin zu starten, ansonsten per Doppelklick starten.
    • Lasse es online updaten (Reiter Updates), sofern sich das Programm bereits auf dem Rechner befand.
    • Aktiviere "Komplett Scan durchführen" => Scan.
    • Wähle alle verfügbaren Laufwerke aus und starte den Scan.
    • Wenn der Scan beendet ist, klicke auf "Zeige Resultate".
    • Bei Funden in C:\System Volume Information den Haken entfernen.
      Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
      Er könnte jedoch trotz Malware noch gebraucht werden.
    • Versichere Dich, dass ansonsten alle Funde markiert sind und drücke "Löschen".
    • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
    • Nachträglich kannst du den Bericht unter "Scan-Berichte" finden.
    • Berichte, wie der Rechner nun läuft.
    Hier findest Du eine ausführliche und bebilderte Anleitung

    4.
    poste erneut - nach der vorgenommenen Reinigungsaktion:
    ► TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
    Warnung!:
    Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
    Anhang nicht öffnen, in unserem Forum erst nachfragen!
    Bitte diese Warnung weitergeben, wo Du nur kannst!
    Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
    Bitte diese Warnung weitergeben, wo Du nur kannst!
  2. 05.08.2010, 15:47 #22
    lyssandros
    lyssandros ist offline
    Forenbenutzer
    Registriert seit
    26.07.2010
    Beiträge
    30

    AW: Notebook gehijackt ??

    AdAware neutralisiert in msconfig

    Malwarebytes durchlaufen lassen : kein Fund !

    Neustart:

    Avira erkennt empu.exe als Trojaner >>> löschen

    Hijacklist nach erneutem Start:

    Code:
    Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:35:46, on 05.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Program Files\Softex\OmniPass\Omniserv.exe
C:\Programme\Lenovo\PM Driver\PMSveH.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Lenovo\HOTKEY\TPHKMGR.exe
C:\Programme\Lenovo\HOTKEY\TpWAudAp.exe
C:\PROGRA~1\Lenovo\PMDRIV~1\PMHandler.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\vsnp2std.exe
C:\Program Files\Softex\OmniPass\scureapp.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
C:\Programme\ThinkVantage\AMSG\Amsg.exe
C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Lenovo\Client Security Solution\cssauth.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Trend Micro\HiJackThis\HijackThis.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Lenovo\Client Security Solution\tvtpwm_tray.exe
C:\Program Files\Softex\OmniPass\EnrWiz.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lenovo.com/welcome/3000notebook
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: ThinkVantage Password Manager - {F040E541-A427-4CF7-85D8-75E3E0F476C5} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPWAUDAP] C:\Programme\Lenovo\HOTKEY\TpWAudAp.exe
O4 - HKLM\..\Run: [PMHandler] C:\PROGRA~1\Lenovo\PMDRIV~1\PMHandler.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [OmniPass] C:\Program Files\Softex\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
O4 - HKLM\..\Run: [AMSG] C:\Programme\ThinkVantage\AMSG\Amsg.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [cssauth] "C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Programme\Trend Micro\HiJackThis\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [{BD6E00FB-43EA-0725-255D-E73C50D44AD3}] "C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Vouhpo\empu.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Mit FlashGet laden - F:\C Kopie  Juli 2009\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: ThinkVantage Password Manager... - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra button: System Update - {DA320635-F48C-4613-8325-D75A933C549E} - C:\Programme\Lenovo\System Update\sulauncher.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/welcome/3000notebook
O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - http://esupport.epson-europe.com/selftest/de/Prg/ESTPTest.cab
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Program Files\Softex\OmniPass\Omniserv.exe
O23 - Service: PMSveH - Lenovo - C:\Programme\Lenovo\PM Driver\PMSveH.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: System Update (SUService) -   - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

--
End of file - 13368 bytes

    Zur Zeit keine Fehlermeldungen (siehe oben) bei Systemstart
    Mozilla Firefox lässt sich wieder starten.

    Probleme noch beim Explorer ...
    Alle Kontextbefehle (rechte Maustaste) auf einem File (spielen, löschen etc.)
    führen zur Verabschiedung von drwtsn.exe.
    Hardware/Bios-Problem??

    MfG L
    Geändert von lyssandros (05.08.2010 um 16:51 Uhr)
  3. 05.08.2010, 23:09 #23
    kira
    kira ist offline
    Moderator Team-Mitglied Avatar von kira
    Registriert seit
    28.03.2006
    Ort
    Wien/Sprachen: Deutsch-Ungarisch
    Beiträge
    28.334

    AW: Notebook gehijackt ??

    einiges noch zu tun, dann schauen wir weiter falls das Problem danach bestehen sollte

    um sicher zu gehen:
    1.
    starte HijackThis-> wähle: "Open the Misc Tools section"-> "Delete a file on reboot..."-> wähle die zu löschende datei - sehe der Inhalt dieser Code-Box (Text kopieren und einfügen, oder "Durchsuchen"), die frage zum neustart mit JA beantworten
    Code:
    C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Vouhpo\empu.exe
    2.
    Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten--> `Do a system scan only`--> Einträge auswählen--> Häckhen setzen--> "Fix checked"klicken-->PC neu aufstarten) - fixe NUR Die von mir angegebenen Einträge!:
    HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
    O4 - HKCU\..\Run: [{BD6E00FB-43EA-0725-255D-E73C50D44AD3}] "C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Vouhpo\empu.exe"
    3.
    Java aktualisieren
    Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Systemsteuerung => Software => deinstallieren. Starte den Rechner neu.
    Downloade nun die Offline-Version von Java Version 6 Update 21 von Oracle und installiere sie. Achte darauf, eventuell angebotene Toolbars nicht mitzuinstallieren, also während der Installation den Haken bei der Toolbar entfernen.[/QUOTE]

    4.
    Punkt 4. nochmal versuchen:-> http://www.hijackthis-forum.de/hijac...tml#post326609

    5.
    poste erneut - nach der vorgenommenen Reinigungsaktion:
    ► TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!
    Warnung!:
    Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
    Anhang nicht öffnen, in unserem Forum erst nachfragen!
    Bitte diese Warnung weitergeben, wo Du nur kannst!
    Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
    Bitte diese Warnung weitergeben, wo Du nur kannst!
  4. 06.08.2010, 10:08 #24
    lyssandros
    lyssandros ist offline
    Forenbenutzer
    Registriert seit
    26.07.2010
    Beiträge
    30

    AW: Notebook gehijackt ??

    Punkte 1 - 3 erledigt !!


    Code:
    test test
    zu Punkt 4 >> Kann immer noch nicht die hjtscanlist hier einsetzen - auch Teilmengen davon nicht.
    Irgendwie eine Erklärung dafür?? Hijacklist funktioniert ja !!


    zu Punkt 5

    Code:
    Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:12:25, on 06.08.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Program Files\Softex\OmniPass\Omniserv.exe
C:\Programme\Lenovo\PM Driver\PMSveH.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\lenovo\system update\suservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
C:\Program Files\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Lenovo\HOTKEY\TPHKMGR.exe
C:\Programme\Lenovo\HOTKEY\TpWAudAp.exe
C:\PROGRA~1\Lenovo\PMDRIV~1\PMHandler.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\vsnp2std.exe
C:\Program Files\Softex\OmniPass\scureapp.exe
C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
C:\Programme\ThinkVantage\AMSG\Amsg.exe
C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Lenovo\Client Security Solution\cssauth.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Trend Micro\HiJackThis\HijackThis.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Lenovo\Client Security Solution\tvtpwm_tray.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
C:\Programme\Windows Media Player\wmplayer.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\EMAIL\MAIL.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lenovo.com/welcome/3000notebook
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: ThinkVantage Password Manager - {F040E541-A427-4CF7-85D8-75E3E0F476C5} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\Programme\Lenovo\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPWAUDAP] C:\Programme\Lenovo\HOTKEY\TpWAudAp.exe
O4 - HKLM\..\Run: [PMHandler] C:\PROGRA~1\Lenovo\PMDRIV~1\PMHandler.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [OmniPass] C:\Program Files\Softex\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [TVT Scheduler Proxy] C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.exe
O4 - HKLM\..\Run: [AMSG] C:\Programme\ThinkVantage\AMSG\Amsg.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [cssauth] "C:\Programme\Lenovo\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Programme\Trend Micro\HiJackThis\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra 'Tools' menuitem: ThinkVantage Password Manager... - {0045D4BC-5189-4b67-969C-83BB1906C421} - C:\Programme\Lenovo\Client Security Solution\tvtpwm_ie_com.dll
O9 - Extra button: System Update - {DA320635-F48C-4613-8325-D75A933C549E} - C:\Programme\Lenovo\System Update\sulauncher.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/welcome/3000notebook
O16 - DPF: {79E0C1C0-316D-11D5-A72A-006097BFA1AC} (EPSON Web Printer-SelfTest Control Class) - http://esupport.epson-europe.com/selftest/de/Prg/ESTPTest.cab
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Program Files\Softex\OmniPass\Omniserv.exe
O23 - Service: PMSveH - Lenovo - C:\Programme\Lenovo\PM Driver\PMSveH.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: System Update (SUService) -   - c:\programme\lenovo\system update\suservice.exe
O23 - Service: ThinkVantage Registry Monitor Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Lenovo Group Limited - C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe

--
End of file - 13628 bytes
    Geändert von lyssandros (06.08.2010 um 10:19 Uhr)
  5. 06.08.2010, 14:32 #25
    lyssandros
    lyssandros ist offline
    Forenbenutzer
    Registriert seit
    26.07.2010
    Beiträge
    30

    AW: Notebook gehijackt ??

    Spezifikation der Windows Explorer Probleme:

    Auf Ebene der jeweiligen Festplatte >

    Dateien lassen sich mit Doppelklick öffnen, abspielen ...

    Dateien einfach markieren ... führt zu Explorerabbruch; Desktop und Win Explorer bauen sich aber wieder auf

    Dateien mit rechter Maustaste markieren ... drwtsn32.exe verabschiedet sich; System friert ein;
    System lässt sich nur mit Aus-Taste runterführen
  6. 06.08.2010, 16:41 #26
    kira
    kira ist offline
    Moderator Team-Mitglied Avatar von kira
    Registriert seit
    28.03.2006
    Ort
    Wien/Sprachen: Deutsch-Ungarisch
    Beiträge
    28.334

    AW: Notebook gehijackt ??

    1.
    Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten--> `Do a system scan only`--> Einträge auswählen--> Häckhen setzen--> "Fix checked"klicken-->PC neu aufstarten) - fixe NUR Die von mir angegebenen Einträge!:
    HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
    O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
    ► Ich denke auch ein Problem bzw eine große Rolle spielen, dass dein System ein wenig überlastet. Also ich würde mal an deiner Stelle "Part of Thinkvantage & Co" unter die Lupe nehmen und die Nicht benötigte Dienste und Startprogramme einfach mal deaktivieren
    ► Brauchst Du die T-Online Software unbedingt?

    Empfehlungen/Vorschläge:
    2.
    Wie lange dauert die Startvorgang?
    Beim Hochfahren von Windows werden einige Programme mit gestartet, die sich (mit oder ohne Zustimmung des Users) im Autostart eingetragen haben
    Je mehr Programme hier aufgeführt sind, umso langsamer startet Windows. Deshalb kann es sinnvoll sein, Software die man nicht unbedingt immer benötigt, aus dem Autostart zu entfernen.
    "Start-> ausführen-> "msconfig" (reinschreiben ohne ""-> OK"
    it-academy.cc
    pqtuning.de
    Laden von Programmen beim Start von Windows Vista verhindern
    Bei allem Häkchen weg was nicht starten soll, aber immer nur einen deaktivieren (Haken weg), also Schrittweise -> Neustart...
    Wird noch nach dem nächsten Neustart ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten`
    (Du kannst es jederzeit Rückgängig machen wenn du den Haken wieder reinmachst.)
    Falls Du mal brauchst, kannst manuell auch starten
    ► Also kannst Du, eins nach dem anderen aus dem Autostart rausnehmen, wenn das System nicht benötigt, dann sollten deaktiviert belassen werden
    Autostart-Einträge die Du nicht findest, kannst mit HJT fixen - Unter 04_Sektion - (*HijackThis Tutorial in German*):
    Alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
    HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen
    Code:
    Du solltest nicht deaktivieren :
Grafiktreibers
Firewall
Antivirenprogramm
Sound
    Da es ist immer Benutzerspezifisch (ein allgemein gültiges Rezept gibt es nicht), finde über Google die Grundfunktionen der einzelnen Programme heraus!

    Im Folgenden die bekanntesten Kandidaten auf der Liste - (Autostart-Einträge, die Du nicht findest, einfach mit HijackThis fixen:
    Code:
    O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Programme\Trend Micro\HiJackThis\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    Das werden wohl noch einige mehr sein, noch nachsehen,was nicht notwendig

    3.
    **Vor dem Löschen temporärer Dateien sollte man unbedingt alle Anwendungen beenden!
    **lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - (Inhalt markieren und löschen)
    **Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind,nicht löschbar.
    • klick auf START -> ausführen (schreib rein): cleanmgr -> ok.[/b]Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden.
      Klicke ok.
    • gehe auf START -> ausführen (schreib rein): %temp% -> ok.[/b]
      Ordnerinhalt markieren dann löschen - Du leerst damit den/die Ordner C:\DOKUME~1\Dein Name\LOKALE~1\Temp\
    • Mach das für jedes Benutzerkonto.
    • Danach soll auch der Papierkorb geleert werden


    4.
    Öffne CCleaner - Anleitung CCleaner
    • "Cleaner"->"Analysieren"->Klick auf den Button "Start CCleaner"
    • "Registry""Fehler suchen"-> "Fehler beheben"->"Alle beheben"
    • Starte dein System neu auf


    5.
    Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
    • Also lade dir Gmer von *dieser Seite* oder von hier majorgeeks.com/gmer.zip - runter und entpacke es auf deinen Desktop.
    • "Show all" soll nicht angehakt sein!
    • Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
    • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
    • ►Sollte sich ein Fenster mit folgender Warnung öffnen:
      Code:
      WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?
    • Unbedingt auf "No" klicken
    • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
    • Füge das Log aus der Zwischenablage [Strg+ V] (oder Umschalt+Einfg) in deine Antwort hier ein.

    Wichtig: während des Scan-Vorgangs sollen:
    • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein - ►Klicken Sie auf der Taskleiste im Infobereich (Der Bereich in der Taskleiste rechts neben den Schaltflächen der Taskleiste. Im Infobereich wird die Uhrzeit angezeigt. Außerdem kann dieser Bereich Verknüpfungen für einen schnellen Zugriff auf Programme enthalten.) mit der rechten Maustaste auf das entsprechende Programmsymbol für das Firewall-, Antispyware- oder Antivirenprogramm, und klicken Sie dann auf Beenden oder Deaktivieren.
    • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
    • nichts am Rechner getan werden

    Scanner wieder einschalten, bevor Du ins Netz gehst!
    Das Tool "Gmer" bitte nur EINMAL ausführen! Bei Probleme keine weitere Versuch, sondern mit Punkt 2 fort fahren!
    Anleitung:-> Rootkit-Scanner Anleitungen

    NUR DOWNLOADEN, WENN GMER NICHT AUSGEFÜHRT WERDEN KANN:
    6.
    Lade und installiere das Tool RootRepeal herunter

    • setze einen Hacken bei: "Drivers"-> "Scan"-> Save Report"...
    • "Stealth Objects" -> "Scan"-> Save Report"...
    • "Hidden Services" -> "Scan"-> Save Report"...
    • speichere das Logfile als "RootRepeal.txt" auf dem Desktop und Kopiere den Inhalt hier in den Thread
    Warnung!:
    Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
    Anhang nicht öffnen, in unserem Forum erst nachfragen!
    Bitte diese Warnung weitergeben, wo Du nur kannst!
    Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
    Bitte diese Warnung weitergeben, wo Du nur kannst!
  7. 07.08.2010, 09:46 #27
    lyssandros
    lyssandros ist offline
    Forenbenutzer
    Registriert seit
    26.07.2010
    Beiträge
    30

    AW: Notebook gehijackt ??

    Maßnahmen durchgeführt; Vorschläge überwiegend umgesetzt.

    GMER Log eingefügt

    Windows Explorer Probleme - wie oben beschrieben - noch existent

    Spricht manches dafür, dass auch die MS Win XP Updatefunktion unterdrückt wird.
    Letzter Patch (vom 2.08) musste manuell runtergeladen werden.

    Code:
    
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-08-07 00:45:57
Windows 5.1.2600 Service Pack 3
Running: cgpcv1zr.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\ugxcqaob.sys


---- System - GMER 1.0.15 ----

SSDT            F7C5EE96                                                                           ZwCreateKey
SSDT            F7C5EE8C                                                                           ZwCreateThread
SSDT            F7C5EE9B                                                                           ZwDeleteKey
SSDT            F7C5EEA5                                                                           ZwDeleteValueKey
SSDT            F7C5EEAA                                                                           ZwLoadKey
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)  ZwMapViewOfSection [0xF78CF8D0]
SSDT            F7C5EE78                                                                           ZwOpenProcess
SSDT            F7C5EE7D                                                                           ZwOpenThread
SSDT            F7C5EEB4                                                                           ZwReplaceKey
SSDT            F7C5EEAF                                                                           ZwRestoreKey
SSDT            F7C5EEA0                                                                           ZwSetValueKey
SSDT            \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)  ZwShutdownSystem [0xF78CFE70]
SSDT            F7C5EE87                                                                           ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           wanarp.sys                                                                         F76D3402 2 Bytes  [90, 90] {NOP ; NOP }
.rsrc           C:\WINDOWS\system32\DRIVERS\avipbb.sys                                             entry point in ".rsrc" section [0xA9996014]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\System32\svchost.exe[1836] ntdll.dll!NtProtectVirtualMemory             7C91D6EE 5 Bytes  JMP 009A000A 
.text           C:\WINDOWS\System32\svchost.exe[1836] ntdll.dll!NtWriteVirtualMemory               7C91DFAE 5 Bytes  JMP 009B000A 
.text           C:\WINDOWS\System32\svchost.exe[1836] ntdll.dll!KiUserExceptionDispatcher          7C91E47C 5 Bytes  JMP 0099000C 
.text           C:\WINDOWS\System32\svchost.exe[1836] ole32.dll!CoCreateInstance                   774D057E 5 Bytes  JMP 00E1000A 
.text           C:\WINDOWS\Explorer.EXE[2132] ntdll.dll!NtProtectVirtualMemory                     7C91D6EE 5 Bytes  JMP 00B7000A 
.text           C:\WINDOWS\Explorer.EXE[2132] ntdll.dll!NtWriteVirtualMemory                       7C91DFAE 5 Bytes  JMP 00C1000A 
.text           C:\WINDOWS\Explorer.EXE[2132] ntdll.dll!KiUserExceptionDispatcher                  7C91E47C 5 Bytes  JMP 00B6000C 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                [F726BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                 [F726BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]          [F726BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]            [F726BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]           [F726BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                [F726BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]               [F726BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]         [F726BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]           [F726BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]             [F726BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                  [F726BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                 [F726BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]            [F726BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]          [F726BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                [F726BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                 [F726BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                  [F726BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                   [F726BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]              [F726BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]           [F726BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]             [F726BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                  [F726BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                 [F726BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                [F726BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                 [F726BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]          [F726BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]            [F726BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]            [F726BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]          [F726BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                [F726BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                 [F726BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Devices - GMER 1.0.15 ----

Device          \Driver\Tcpip \Device\Ip                                                           wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                            SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                            SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device          \Driver\Tcpip \Device\Tcp                                                          wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)

---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                              sector 01: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 02: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 03: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 04: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 05: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 06: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 07: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 08: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 09: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 10: rootkit-like behavior; copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 11: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 12: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 13: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 14: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 15: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 16: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 17: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 18: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 19: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 20: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 21: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 22: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 23: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 24: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 25: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 26: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 27: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 28: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 29: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 30: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 31: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 32: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 33: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 34: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 35: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 36: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 37: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 38: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 39: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 40: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 41: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 42: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 43: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 44: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 45: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 46: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 47: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 48: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 49: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 50: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 51: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 52: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 53: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 54: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 55: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 56: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 57: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 58: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 59: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 60: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 61: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 62: copy of MBR
Disk            \Device\Harddisk0\DR0                                                              sector 63: rootkit-like behavior; copy of MBR

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\DRIVERS\avipbb.sys                                             suspicious modification

---- EOF - GMER 1.0.15 ----
    Geändert von lyssandros (07.08.2010 um 21:19 Uhr)
  8. 08.08.2010, 19:31 #28
    lyssandros
    lyssandros ist offline
    Forenbenutzer
    Registriert seit
    26.07.2010
    Beiträge
    30

    AW: Notebook gehijackt ??

    Avira entdeckt bei täglichem Durchlauf regelmässig JAVA/AgentJ. + JAVA/ClassloaderAP

    Keine Änderungen bei den Windows Explorer Problemen.


    MfG Lys
  9. 09.08.2010, 06:39 #29
    kira
    kira ist offline
    Moderator Team-Mitglied Avatar von kira
    Registriert seit
    28.03.2006
    Ort
    Wien/Sprachen: Deutsch-Ungarisch
    Beiträge
    28.334

    AW: Notebook gehijackt ??

    hi

    1.
    Download MBRCheck.exe und speichere es auf deinem Desktop.
    XP Benutzer > Doppel-Klick auf MBRCheck.exe um es zu starten.
    Vista und Windows 7 Benutzer > rechts Klick auf MBRCheck.exe und Als Administrator starten wählen.
    Es wird sich ein schwarzes Fenster mit einigen Daten drin öffnen.
    Klick auf das schwarze C:\ in der oberen linken Ecke von dem schwarzen Fenster.
    Wähle Edit > Select All > Drücke Enter um die Daten in deinen Zwischenspeicher zu kopieren.
    Drücke Enter erneut um MBRCheck zu schließen.
    Nun öffne den Editor und füge die Daten ein (Drücke Strg+V).

    Poste das Ergebnis hier in den Thread.
    Warnung!:
    Vorsicht beim Rechnungen per Email mit ZIP-Datei als Anhang! Kann mit einen Verschlüsselungs-Trojaner infiziert sein!
    Anhang nicht öffnen, in unserem Forum erst nachfragen!
    Bitte diese Warnung weitergeben, wo Du nur kannst!
    Sichere regelmäßig deine Daten, auf CD/DVD, USB-Sticks oder externe Festplatten, am besten 2x an verschiedenen Orten!
    Bitte diese Warnung weitergeben, wo Du nur kannst!
  10. 09.08.2010, 09:29 #30
    lyssandros
    lyssandros ist offline
    Forenbenutzer
    Registriert seit
    26.07.2010
    Beiträge
    30

    AW: Notebook gehijackt ??

    MBRCheck

    Code:
    
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x01e0000c

Kernel Drivers (total 147):
  0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
  0x806E5000 \WINDOWS\system32\hal.dll
  0xF7A3E000 \WINDOWS\system32\KDCOM.DLL
  0xF794E000 \WINDOWS\system32\BOOTVID.dll
  0xF740E000 ACPI.sys
  0xF7A40000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF73FD000 pci.sys
  0xF753E000 isapnp.sys
  0xF7952000 compbatt.sys
  0xF7956000 \WINDOWS\system32\DRIVERS\BATTC.SYS
  0xF7B06000 pciide.sys
  0xF77BE000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF73DF000 pcmcia.sys
  0xF754E000 MountMgr.sys
  0xF73C0000 ftdisk.sys
  0xF7A42000 dmload.sys
  0xF739A000 dmio.sys
  0xF77C6000 PartMgr.sys
  0xF795A000 ACPIEC.sys
  0xF7B07000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
  0xF755E000 VolSnap.sys
  0xF7382000 atapi.sys
  0xF756E000 disk.sys
  0xF757E000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF7362000 fltmgr.sys
  0xF7350000 sr.sys
  0xF758E000 Lbd.sys
  0xF759E000 PxHelp20.sys
  0xF7339000 KSecDD.sys
  0xF72AC000 Ntfs.sys
  0xF727F000 NDIS.sys
  0xF7263000 Teefer.sys
  0xF75AE000 ohci1394.sys
  0xF75BE000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
  0xF7249000 Mup.sys
  0xF761E000 \SystemRoot\system32\DRIVERS\nic1394.sys
  0xF76EE000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF6DCA000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
  0xF6DB6000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF6D8E000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF6BEC000 \SystemRoot\system32\DRIVERS\NETw3x32.sys
  0xF7856000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xF6BC8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF785E000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF6BB4000 \SystemRoot\system32\DRIVERS\Rtnicxp.sys
  0xF6BA0000 \SystemRoot\system32\DRIVERS\sdbus.sys
  0xF7866000 \SystemRoot\system32\DRIVERS\rimmptsk.sys
  0xF76FE000 \SystemRoot\system32\DRIVERS\rimsptsk.sys
  0xF6B54000 \SystemRoot\system32\DRIVERS\rixdptsk.sys
  0xF7A0E000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0xF770E000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xF786E000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF6B24000 \SystemRoot\system32\DRIVERS\SynTP.sys
  0xF7A58000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF7876000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF771E000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF787E000 \SystemRoot\system32\drivers\iviaspi.sys
  0xF772E000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF773E000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF6B01000 \SystemRoot\system32\DRIVERS\ks.sys
  0xF7886000 \SystemRoot\system32\DRIVERS\tvtpktfilter.sys
  0xF7C6F000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF774E000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7A1A000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF6AEA000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF775E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF776E000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF788E000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF6AD9000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF777E000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF7896000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF789E000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF6A09000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF778E000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF7A5A000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF6983000 \SystemRoot\system32\DRIVERS\update.sys
  0xF7A32000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF7A36000 \SystemRoot\system32\drivers\PMHler.sys
  0xF77AE000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xAA79A000 \SystemRoot\system32\drivers\ADIHdAud.sys
  0xAA776000 \SystemRoot\system32\drivers\portcls.sys
  0xF765E000 \SystemRoot\system32\drivers\drmk.sys
  0xAA65A000 \SystemRoot\system32\DRIVERS\AGRSM.sys
  0xF78A6000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF764E000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF6EEB000 \SystemRoot\System32\Drivers\i2omgmt.SYS
  0xF7A68000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7BC7000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7A6A000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF78B6000 \SystemRoot\System32\drivers\vga.sys
  0xF7A6C000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7A6E000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF78BE000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xAA5CC000 \SystemRoot\system32\DRIVERS\ATSwpDrv.sys
  0xF78C6000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF6EE7000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xAA5B9000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xAA560000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xF76AE000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xF78CE000 \??\C:\WINDOWS\system32\drivers\wpsdrvnt.sys
  0xAA538000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xAA516000 \SystemRoot\System32\drivers\afd.sys
  0xF76BE000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF78D6000 \SystemRoot\System32\drivers\TSMAPIP.SYS
  0xF78DE000 \SystemRoot\System32\Drivers\TPHKDRV.SYS
  0xF78E6000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xAA4CB000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xAA47D000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xAA40D000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF6AC9000 \SystemRoot\system32\DRIVERS\arp1394.sys
  0xF7A72000 \??\C:\WINDOWS\system32\Drivers\IBMBLDID.sys
  0xF6AB9000 \SystemRoot\System32\Drivers\Fips.SYS
  0xA9999000 \SystemRoot\system32\DRIVERS\snp2sxp.sys
  0xF6A89000 \SystemRoot\system32\DRIVERS\STREAM.SYS
  0xF78EE000 \SystemRoot\system32\DRIVERS\SNCAMD.SYS
  0xF78F6000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xA997D000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7A78000 \??\C:\Programme\Avira\AntiVir Desktop\avgio.sys
  0xF69F5000 \SystemRoot\System32\drivers\ANC.SYS
  0xAA3BD000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF69ED000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF77F6000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7BF9000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF021000 \SystemRoot\System32\ialmdnt5.dll
  0xBF012000 \SystemRoot\System32\ialmrnt5.dll
  0xBF043000 \SystemRoot\System32\ialmdev5.DLL
  0xBF07E000 \SystemRoot\System32\ialmdd5.DLL
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xA90F5000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xA96EA000 \SystemRoot\system32\DRIVERS\AegisP.sys
  0xA929F000 \SystemRoot\system32\DRIVERS\s24trans.sys
  0xA9089000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xA90E1000 \SystemRoot\SYSTEM32\Drivers\wg3n.sys
  0xA8D30000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF7A98000 \??\C:\WINDOWS\SYSTEM32\EGATHDRV.SYS
  0xA8BAF000 \SystemRoot\System32\Drivers\HTTP.sys
  0xA8AB8000 \SystemRoot\system32\DRIVERS\srv.sys
  0xF7AC4000 \??\C:\WINDOWS\System32\drivers\pmemnt.sys
  0xF7C4E000 \??\C:\Programme\SMI2\smi2.sys
  0xA8720000 \??\C:\WINDOWS\system32\drivers\tvtfilter.sys
  0xA7DED000 \SystemRoot\system32\drivers\wdmaud.sys
  0xA7F4A000 \SystemRoot\system32\drivers\sysaudio.sys
  0xA9149000 \??\C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
  0xA5BAB000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 83):
       0 System Idle Process
       4 System
    1148 C:\WINDOWS\system32\smss.exe
    1336 csrss.exe
    1360 C:\WINDOWS\system32\winlogon.exe
    1408 C:\WINDOWS\system32\services.exe
    1420 C:\WINDOWS\system32\lsass.exe
    1616 C:\WINDOWS\system32\svchost.exe
    1692 svchost.exe
    1840 C:\WINDOWS\system32\svchost.exe
    1892 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
    2028 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
     208 C:\Programme\Sygate\SPF\Smc.exe
     384 svchost.exe
     704 svchost.exe
    1056 C:\WINDOWS\system32\spoolsv.exe
    1116 C:\Programme\Avira\AntiVir Desktop\sched.exe
    1644 svchost.exe
     156 C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
     248 C:\Programme\Avira\AntiVir Desktop\avguard.exe
     272 C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
     444 C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
     536 C:\WINDOWS\system32\svchost.exe
     848 C:\Programme\Java\jre6\bin\jqs.exe
     948 C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
    1220 C:\Program Files\Softex\OmniPass\OmniServ.exe
    1248 C:\Programme\Lenovo\PM Driver\PMSveH.exe
    1252 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
    2060 C:\WINDOWS\system32\svchost.exe
    2344 C:\Programme\Lenovo\System Update\SUService.exe
    3184 C:\Programme\Gemeinsame Dateien\Lenovo\tvt_reg_monitor_svc.exe
    3244 C:\Programme\Lenovo\Rescue and Recovery\rrservice.exe
    3296 C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\tvtsched.exe
    3400 wmpnetwk.exe
    3408 C:\Programme\Gemeinsame Dateien\Lenovo\Logger\logmon.exe
    3452 C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
    3816 C:\Program Files\Softex\OmniPass\OPXPApp.exe
    3848 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    2044 alg.exe
    2996 C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
    1208 C:\WINDOWS\explorer.exe
    2200 C:\Programme\Diskeeper Corporation\Diskeeper\DkIcon.exe
     696 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    3664 C:\Programme\Lenovo\HOTKEY\TPHKMGR.exe
    1204 C:\Programme\Lenovo\HOTKEY\TpWAudAp.exe
    1744 C:\PROGRA~1\Lenovo\PMDRIV~1\PMHandler.exe
    1740 C:\WINDOWS\AGRSMMSG.exe
    2168 C:\WINDOWS\system32\hkcmd.exe
    2404 C:\WINDOWS\system32\igfxpers.exe
    3372 C:\WINDOWS\vsnp2std.exe
     604 C:\Program Files\Softex\OmniPass\ScureApp.exe
    1108 C:\Programme\Gemeinsame Dateien\Lenovo\Scheduler\scheduler_proxy.exe
    3120 C:\Programme\Gemeinsame Dateien\Installshield\UpdateService\issch.exe
    2084 C:\PROGRA~1\Lenovo\LENOVO~2\LPMGR.EXE
    2320 C:\Programme\ThinkVantage\AMSG\Amsg.exe
    3768 C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
    3656 C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
    2784 C:\Programme\Lenovo\Client Security Solution\cssauth.exe
    1180 C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    1876 C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe
    2540 C:\WINDOWS\system32\ctfmon.exe
    3912 C:\Programme\Messenger\msmsgs.exe
    2472 C:\Programme\Windows Media Player\wmpnscfg.exe
    2448 C:\Programme\Lenovo\Client Security Solution\tvtpwm_tray.exe
    1324 C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
    2572 C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
     632 C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    1316 C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
    2016 C:\Programme\T-Online\T-Online_Software_6\Browser\browser.exe
    6052 C:\Programme\Mozilla Firefox\firefox.exe
    2476 C:\Programme\Mozilla Firefox\plugin-container.exe
    4424 C:\Programme\Internet Explorer\iexplore.exe
     236 C:\Programme\Internet Explorer\iexplore.exe
    4672 C:\Programme\Internet Explorer\iexplore.exe
    4780 C:\Programme\Internet Explorer\iexplore.exe
    3864 C:\Programme\Internet Explorer\iexplore.exe
     392 C:\Programme\Internet Explorer\iexplore.exe
    4548 C:\Programme\Outlook Express\msimn.exe
    4232 C:\Programme\T-Online\T-Online_Software_6\eMail\Mail.exe
    1272 C:\Programme\Internet Explorer\iexplore.exe
    5932 C:\Programme\Internet Explorer\iexplore.exe
    5684 C:\Dokumente und Einstellungen\Admin\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\V: --> \\.\PhysicalDrive4 at offset 0x00000000`00007e00  (NTFS)
\\.\W: --> \\.\PhysicalDrive3 at offset 0x00000000`00007e00  (NTFS)
\\.\X: --> \\.\PhysicalDrive2 at offset 0x00000000`00007e00  (NTFS)
\\.\Y: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive0 Model Number: HTS541080G9SA00, Rev: MB4IC60R
PhysicalDrive4 Model Number: SAMSUNGHD103SI, Rev: 
PhysicalDrive3 Model Number: ST31000520AS, Rev: 
PhysicalDrive2 Model Number: ST31000528AS, Rev: 
PhysicalDrive1 Model Number: SAMSUNGHD103UJ, Rev: 

      Size  Device Name          MBR Status
  --------------------------------------------
     74 GB  \\.\PhysicalDrive0   Unknown MBR code
            SHA1: A71A409299E9F47AF4427B535E470E53D9912B71
    931 GB  \\.\PhysicalDrive4   RE: Unknown MBR code
            SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F
    931 GB  \\.\PhysicalDrive3   RE: Unknown MBR code
            SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F
    931 GB  \\.\PhysicalDrive2   RE: Unknown MBR code
            SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F
    931 GB  \\.\PhysicalDrive1   RE: Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice: 

Done!
Seite 3 von 5 ErsteErste 12345 LetzteLetzte
« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Gehijackt...
    Von moneyshot im Forum Archiv
    Antworten: 1
    Letzter Beitrag: 18.07.2008, 14:19
  2. Pc gehijackt ?
    Von MrPinx im Forum Archiv
    Antworten: 2
    Letzter Beitrag: 14.09.2007, 22:42
  3. IE7 gehijackt
    Von stifflersdad im Forum Archiv
    Antworten: 24
    Letzter Beitrag: 10.09.2007, 16:27
  4. PC gehijackt ?
    Von pitufo im Forum Archiv
    Antworten: 3
    Letzter Beitrag: 07.07.2006, 16:09
  5. IE ist gehijackt
    Von RaSchu im Forum Archiv
    Antworten: 17
    Letzter Beitrag: 25.01.2006, 04:08

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln