Irgendwas größeres auf dem sich quälenden Rechner

Diskutiere Irgendwas größeres auf dem sich quälenden Rechner im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Hallo liebe Community, trotz lesen der angepinnten Themen und meinen Google-recherchen komme ich im moment leider überhaupt nicht mehr mit...

  1. Woomio

    Woomio Neuer Benutzer

    Dabei seit:
    30.12.2010
    Beiträge:
    11
    Zustimmungen:
    0
    Hallo liebe Community,

    trotz lesen der angepinnten Themen und meinen Google-recherchen komme ich im moment leider überhaupt nicht mehr
    mit meinem infizierten Computer klar.
    Ich schildere soweit alles außergewöhnliche:

    - Beim Surfen meldete AntiVir plötzlich Spyware, die ich blockte
    - Der Explorer 'konnte nicht mehr ausgeführt werden', Taskleiste und Desktopsymbole verschwanden und waren nicht mehr zu erreichen, ich fuhr den PC runter
    - Beim Hochfahren sind zu Beginn Details anders, das BIOS (glaube ich) erscheint an ungewöhnlicher Stelle kurz, der Bildschirm leuchtet schwarz auf, dann undefinierbar inkorrekt
    - Bei jedem Start verschwinden Taskleiste und Desktopsymbole einige Sekunden, tauchen dann wieder auf
    - Die Balkenanzeige für meinen Wlanempfang ist komplett weg
    - Trotz Adminrechten kann ich Programme oder sonstiges nicht mehr wirklich als Administrator ausführen
    - Der gesamte Pc läuft wesentlich schlechter und viel langsamer sowie viel lauter und ruckeliger (beim hochfahren), besonders im Internet, häufig bekomme ich selbst von einfachsten Programmen "keine Rückmeldung",
    es wird immer schlimmer.

    Leider kenne ich mich überhaupt nicht aus, vieles scheint hier möglich, ich tendiere in Richtung Trojaner/ Spyware/ Rootkit und bin mit v.a. der Komplexität des letzten überfordert.

    Systemwiederherstellung ist nicht möglich, da mir kein Zeitpunkt zur Verfügung steht.
    Normale, hier häufig empfohlene Scans finden nichts mehr (AntiVir, Antimalwarebytes, Spyware Search & Destroy)

    Das HijackThis-Logfile könnte ich anlegen und posten, wenn es auf jeden Fall benötigt wird, allerdings dürfte das wieder eine ziemliche Prozedur bei meinem überforderten Rechner werden.

    Ich wäre sehr erleichtert, wenn mich jemand beruhigen könnte, das ganze System neu zu installieren sollte am besten
    erstmal umgangen werden, und nur in frage kommen, wenn nichts anderes helfen kann.

    Sowie: Wie verhalte ich mich am infizierten Rechner? (Im Bezug auf die Gefahr für andere Rechner im Nertzwerk und dem sich weiter
    ausbreiten meiner Viren)

    Vielen vielen Dank!
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Leonixx, 30.12.2010
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hallo und Willkommen,

    das riecht nach heftigem Schädling. Da der Schädling sämtliche Adminrechte blockiert, kannst du das System versuchen von "Aussen" zu scannen.

    Dazu Emisoft Emergency Kit runterladen, die Zipdatei entpacken und auf USB Stick kopieren. Anschließend Setup.exe starten und zuerst aktualisieren. Dann kompletten Scan durchführen und Logfile posten.

    Generell kommt es auf den Schädling an, ob er sich über Netzwerke bzw. USB Medien weiterverbreitet. Auf jeden Fall Onlinebanking oder andere heikle Dinge unterlassen.

    Emsisoft Free Emergency Kit
     
  4. Woomio

    Woomio Neuer Benutzer

    Dabei seit:
    30.12.2010
    Beiträge:
    11
    Zustimmungen:
    0
    Soo,

    vielen Dank für die Antwort. Leider war ein Detailscan nicht möglich, da ich nach 2 1/2h gerade einmal 8% hatte, aber bereits 300.000 Dateien, eine Zahl, die andere Scanner nie erreichten.
    Wie ich das einschätzen soll, weiß ich auch nicht, aber das muss schneller gehen, oder es dauert definitiv zu lange.
    Totale Konfusion über die Ergebnisse :eek:

    Alternativ habe ich hier ein HijackThis-logfile, falls es etwas hilft, ich habe mich nochmal rangemacht:
    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:17:04, on 28.04.2010
    Platform: Windows Vista  (WinNT 6.00.1904)
    MSIE: Internet Explorer v8.00 (8.00.6001.18904)
    Boot mode: Normal
    
    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Acer\Empowering Technology\SysMonitor.exe
    C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe
    C:\Program Files\avmwlanstick\FRITZWLANMini.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Microsoft IntelliType Pro\itype.exe
    C:\Program Files\Microsoft IntelliPoint\ipoint.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Epson Software\Event Manager\EEventManager.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Windows\System32\spool\drivers\w32x86\3\E_FATIFDE.EXE
    C:\Users\Mc B\AppData\Local\Google\Update\GoogleUpdate.exe
    C:\Program Files\ICQ7.0\ICQ.exe
    C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
    C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Windows\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\System32\notepad.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
    R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O1 - Hosts: ::1 localhost
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
    O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
    O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
    O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
    O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
    O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "c:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe
    O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    O4 - HKLM\..\Run: [Skytel] Skytel.exe
    O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe"
    O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
    O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [EPSON SX210 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIFDE.EXE /FU "C:\Windows\TEMP\E_S5D80.tmp" /EF "HKCU"
    O4 - HKCU\..\Run: [Google Update] "C:\Users\Mc B\AppData\Local\Google\Update\GoogleUpdate.exe" /c
    O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user')
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Empowering Technology Launcher.lnk = ?
    O4 - Global Startup: PCM Media Sharing.lnk = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
    O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix: 
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{050E9BA9-9826-4222-9EFA-B0588964FD50}: NameServer = 192.168.178.101
    O17 - HKLM\System\CS1\Services\Tcpip\..\{050E9BA9-9826-4222-9EFA-B0588964FD50}: NameServer = 192.168.178.101
    O17 - HKLM\System\CS2\Services\Tcpip\..\{050E9BA9-9826-4222-9EFA-B0588964FD50}: NameServer = 192.168.178.101
    O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
    O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
    O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
    O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
    O23 - Service: Google Update Service (gupdate1ca1457fa303b88) (gupdate1ca1457fa303b88) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
    O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
    
    --
    End of file - 12624 bytes
    sowie ein Screenshot von dem, was bereits gefunden wurde, u.a. ein Trojaner, der ja definitiv runter sollte:
    http://img17.imageshack.us/img17/8010/emsisoft.jpg

    mehr kann ich im moment nicht anbieten, tut mir leid.
    hoffentlich hilft das zumindest ein bisschen oder es gibt noch andere Alternativen :(

    Ansonsten hat sich nicht viel verändert - (logisch, es wurde ja noch nichts gemacht) Probleme beim hochfahren und unmittelbar nach dem anmelden, langsames Laufen, wobei ich das Gefühl habe, dass der PC sich minimal stabilisiert habe.
    Wäre echt froh, wenn noch jemand weitere Anweisungen hätte ;)
     
  5. #4 xandros, 31.12.2010
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.068
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    du kannst ja mal eine Engine schreiben, die deinen Datenbestand in akzeptabler Zeit scannt und mit allen bekannten Schaedlingsdefinitionen abgleicht.... Viel Spass!
    Ansonsten wuerde ich eher mal raten, dem Scanner die Zeit zu geben, die benoetigt wird - sonst ist der Scan nur oberflaechig und damit ueberfluessig.

    BTW> Welchen Virenscanner verwendest du tatsaechlich? Auf deinem System laufen Avira und Symantec Norton Internet Security. Das muss sich beissen....
     
  6. Woomio

    Woomio Neuer Benutzer

    Dabei seit:
    30.12.2010
    Beiträge:
    11
    Zustimmungen:
    0
    sorry, ich weiß. das sollte jetzt nicht genervt oder wütend rüberkommen, eher ratlos und überrascht. Aber wenn andere Scanner ~1 1/2-2 stunden brauchen, bin ich davon ausgegangen, dass irgendwas nicht stimmen kann, wenn dieser für 8% 2 1/2 Stunden braucht. Hochgerechnet müsste ich den PC ja dann grob überschlagen 30 Stunden scannen lassen, was mir dann doch sehr komisch vorkam. Wenn dem tatsächlich so sein sollte und es anderen Usern genauso geht, okay.
    Dass der Scan dann überflüssig ist, ist mir leider klar, aber unter den unerwarteten Bedingungen geht das im Moment nicht.
    Also ein bisschen mehr Verständnis für meine Postion bitte ;)

    Da haben wir es ja schon, ich hab eben recht wenig Plan von der Sache, dann werde ich eins mal kicken. Avira wurde mir häufig empfohlen, und Norton habe ich ehrlich gesagt nicht wirklich wahrgenommen, danke.
     
  7. #6 xandros, 31.12.2010
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.068
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Gerne. Das Posting kam nicht wuetend, sondern eher ungeduldig rueber....
    Ich glaube nicht, dass die Hochrechnung mit 30 Stunden realistisch ist.
    Meistens haengen die Scanner in einigen Unterverzeichnissen laenger, weil sie dort Archive auseinandernehmen, in denen wiederum massenhaft Dateien enthalten sind.
    Andere Scanner pruefen nur die Archivdatei selbst, ohne den Inhalt zu untersuchen.
    Regelmaessig hat man das Gefuehl, der Rechner hat sich verabschiedet und nichts geht mehr... und dann macht der Scanner ploetzlich einen Sprung und hat deutlich an den verbleibenden Prozenten geknabbert.

    Zu Norton..... Diese Systembremse (so gut die Erkennungsrate auch sein mag!) komplett deinstallieren. Dazu wird dann auch der Einsatz eines Tools notwendig, welches sicherstellt, dass auch wirklich alles restlos entfernt wurde! (Norton selbst hinterlaesst liebendgern Dateileichen und laufende Dienste, die den Rechner weiterhin lahmlegen.)
     
  8. #7 Leonixx, 31.12.2010
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Wende mal zuerst dieses Tool an rkill.com Download Link
    Runterladen, auf dem Desktop speichern, doppelklick auf rkill.com und ausführen. Damit werden bekannte Malwareprozesse gestoppt.

    Anschließend nochmals Malwarebytes (wie in Tutorials in meiner Sig. beschrieben) anwenden. Manuelles Update nicht vergessen. Logfile posten.
    Danach RSIT anwenden im im Link in meiner Signatur. Poste beide Logfiles wie beschrieben.
     
  9. Woomio

    Woomio Neuer Benutzer

    Dabei seit:
    30.12.2010
    Beiträge:
    11
    Zustimmungen:
    0
    Vielen Dank für die Alternativen!
    Hat ein paar Tage gedauert, da ich über Silvester nicht zu Hause war. Jetzt hat aber denke ich alles geklappt.

    Rkill-logfile, obwohl nicht danach gefragt wurde, aber vielleicht bringt es ja der Vollständigkeit halber irgendetwas:
    Code:
    This log file is located at C:\rkill.log. 
    Please post this only if requested to by the person helping you. 
    Otherwise you can close this log when you wish. 
    
    Rkill was run on 03.01.2011 at 16:54:09. 
    Operating System: Windows Vista (TM) Home Premium 
    
    
    Processes terminated by Rkill or while it was running: 
    
    
    
    Rkill completed on 03.01.2011 at 16:54:54. 
    
    Dann das Logfile von Malwarebytes' Anti-Malware (es wurde jedoch nichts
    gefunden):
    Code:
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org
    
    Datenbank Version: 5446
    
    Windows 6.0.6001 Service Pack 1
    Internet Explorer 8.0.6001.18999
    
    03.01.2011 18:49:22
    mbam-log-2011-01-03 (18-49-22).txt
    
    Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
    Durchsuchte Objekte: 336145
    Laufzeit: 1 Stunde(n), 53 Minute(n), 27 Sekunde(n)
    
    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0
    
    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)
    Und als Dateianhang (wie in den Tutorials geschrieben) die beiden RSIT-Logfiles.
     

    Anhänge:

    • log.txt
      Dateigröße:
      36 KB
      Aufrufe:
      21
    • info.txt
      Dateigröße:
      20,4 KB
      Aufrufe:
      27
  10. #9 Leonixx, 03.01.2011
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Zwei Dinge fallen mir auf.

    NameServer =172.16.200.1 Ist das deine IP Adresse?

    C:\Users\Mc B\AppData\Roaming\Grares\tabole.exe
    Kenne ich nicht. Datei bei Virustotal checken.
     
  11. Woomio

    Woomio Neuer Benutzer

    Dabei seit:
    30.12.2010
    Beiträge:
    11
    Zustimmungen:
    0
    1) Nein, das ist nicht meine Ip-Adresse, zumindest kenne ich sie überhaupt nicht und bei den ersten Ip-Prüfern, die so bei Google erscheinen, sagt man mir auch immer eine andere.
    Woher hast du diese und was hat das dann zu bedeuten? In dem, was ich geposte habe, habe ich diese Adresse auch per Suche nicht gefunden.

    2) Die angesprochene Datei habe ich auch schon in Post #3 gezeigt,
    einzig Emsisoft hat im abgebrochenem Scan hier Alarm geschlagen. Allerdings kann ich sie bisher bei Virustotal.com nicht prüfen lassen, weil ich sie einfach nicht finden kann.
    C: \ Users \ Mc B ist klar, aber AppData, Roaming, Grares sowie die Datei finde ich einfach nicht.
     
  12. #11 Leonixx, 03.01.2011
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Wenn du die IP nicht kennst, dann mit Hijackthis fixen. Sollte die IP doch zu dir gehören, dann kannst du unter Hijackthis, Button Config, Backups ein Backup zurückspielen.

    Was die andere Datei anbetrifft. Hast du auch versteckte Dateien und Ordner sichtbar gemacht bzw. geschützte Systemdateien eingeblendet? (Unter Explorer, Extras, Ordneroptionen, Ansicht.
     
  13. Woomio

    Woomio Neuer Benutzer

    Dabei seit:
    30.12.2010
    Beiträge:
    11
    Zustimmungen:
    0
    1) Versteh ich nicht so ganz. Die Ip ist definitiv nicht mir, was genau soll ich dann mit Hijackthis fixen?

    2) Damit hats geklappt. Ich hab dir mal möglichst viel kopiert:

    Code:
    0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
    File name:
    tabole.exe
    Submission date:
    2011-01-03 19:39:49 (UTC)
    Current status:
    queued queued analysing finished
    Result:
    /
    	
    VT Community
    
    not reviewed
     Safety score: - 
    Compact
    Print results
    Antivirus 	Version 	Last Update 	Result
    Additional information
    Show all
    MD5   : fc1f7be71e2dc81cc0c94e5e9ee44a11
    SHA1  : d1b69d794210b5d987512d3cfd9958c9e2cc048c
    SHA256: a7ead42b5e51def7bdfa0528b67d07b117fb1b33fe576bf0c26c9094a2753e9f
    File size : 264192 bytes
    First seen: 2011-01-03 19:39:49
    Last seen : 2011-01-03 19:39:49
    Magic:
    
    VT Community
    
    0
    
        This file has never been reviewed by any VT Community member. Be the first one to comment on it! 
     
  14. #13 Leonixx, 03.01.2011
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Du hast die Datei nicht auswerten lassen.

    Hijackthis starten, Do a system scan, dann die Kästchen neben den Einträgen anklicken.

    O17 - HKLM\System\CCS\Services\Tcpip\..\{050E9BA9-9826-4222-9EFA-B0588964FD50}: NameServer = 172.16.200.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{050E9BA9-9826-4222-9EFA-B0588964FD50}: NameServer = 172.16.200.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{050E9BA9-9826-4222-9EFA-B0588964FD50}: NameServer = 172.16.200.1

    Dann auf den Button fix checked klicken und Rechner neustarten. Anschließend nochmals Logfile mit Hijackthis machen. Anleitung findest du in meiner Signatur
     
  15. Woomio

    Woomio Neuer Benutzer

    Dabei seit:
    30.12.2010
    Beiträge:
    11
    Zustimmungen:
    0
    Hoppla, Entschuldigung. Das hätte ich auch selbst merken können.

    Nachdem ich gefixt und neu gestartet habe ist folgendes rausgekommen:
    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:17:04, on 28.04.2010
    Platform: Windows Vista  (WinNT 6.00.1904)
    MSIE: Internet Explorer v8.00 (8.00.6001.18904)
    Boot mode: Normal
    
    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Acer\Empowering Technology\SysMonitor.exe
    C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe
    C:\Program Files\avmwlanstick\FRITZWLANMini.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Microsoft IntelliType Pro\itype.exe
    C:\Program Files\Microsoft IntelliPoint\ipoint.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Epson Software\Event Manager\EEventManager.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Windows\System32\spool\drivers\w32x86\3\E_FATIFDE.EXE
    C:\Users\Mc B\AppData\Local\Google\Update\GoogleUpdate.exe
    C:\Program Files\ICQ7.0\ICQ.exe
    C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
    C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Windows\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\System32\notepad.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
    R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O1 - Hosts: ::1 localhost
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll
    O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
    O2 - BHO: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
    O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
    O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
    O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [osCheck] "c:\Program Files\Norton Internet Security\osCheck.exe"
    O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe
    O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    O4 - HKLM\..\Run: [Skytel] Skytel.exe
    O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files\Acer Arcade Live\Acer PlayMovie\PMVService.exe"
    O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
    O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\FRITZWLANMini.exe
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [EEventManager] C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [EPSON SX210 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIFDE.EXE /FU "C:\Windows\TEMP\E_S5D80.tmp" /EF "HKCU"
    O4 - HKCU\..\Run: [Google Update] "C:\Users\Mc B\AppData\Local\Google\Update\GoogleUpdate.exe" /c
    O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user')
    O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Empowering Technology Launcher.lnk = ?
    O4 - Global Startup: PCM Media Sharing.lnk = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
    O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix: 
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{050E9BA9-9826-4222-9EFA-B0588964FD50}: NameServer = 192.168.178.101
    O17 - HKLM\System\CS1\Services\Tcpip\..\{050E9BA9-9826-4222-9EFA-B0588964FD50}: NameServer = 192.168.178.101
    O17 - HKLM\System\CS2\Services\Tcpip\..\{050E9BA9-9826-4222-9EFA-B0588964FD50}: NameServer = 192.168.178.101
    O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
    O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
    O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
    O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
    O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
    O23 - Service: Google Update Service (gupdate1ca1457fa303b88) (gupdate1ca1457fa303b88) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
    O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
    
    --
    End of file - 12624 bytes
    
    Die jetzt angegebene IP müsste meine sein. Woher kam die falsche
    überhaupt und warum war das wichtig?

    Dann die richtige Auswertung ;)
    Code:
    File name:
    tabole.exe
    Submission date:
    2011-01-03 21:34:37 (UTC)
    Current status:
    queued queued analysing finished
    Result:
    5/ 43 (11.6%)
    
    AhnLab-V3	2011.01.04.00	2011.01.03	-
    AntiVir	7.11.1.17	2011.01.03	-
    Antiy-AVL	2.0.3.7	2011.01.03	-
    Avast	4.8.1351.0	2011.01.03	-
    Avast5	5.0.677.0	2011.01.03	-
    AVG	9.0.0.851	2011.01.03	-
    BitDefender	7.2	2011.01.03	Gen:Trojan.Heur.RP.qmW@aCs!a5i
    CAT-QuickHeal	11.00	2011.01.03	-
    ClamAV	0.96.4.0	2011.01.03	-
    Command	5.2.11.5	2011.01.02	-
    Comodo	7286	2011.01.03	-
    DrWeb	5.0.2.03300	2011.01.03	-
    Emsisoft	5.1.0.1	2011.01.03	-
    eSafe	7.0.17.0	2011.01.02	-
    eTrust-Vet	36.1.8079	2011.01.03	-
    F-Prot	4.6.2.117	2011.01.02	-
    F-Secure	9.0.16160.0	2011.01.03	Gen:Trojan.Heur.RP.qmW@aCs!a5i
    Fortinet	4.2.254.0	2011.01.03	-
    GData	21	2011.01.03	Gen:Trojan.Heur.RP.qmW@aCs!a5i
    Ikarus	T3.1.1.90.0	2011.01.03	-
    Jiangmin	13.0.900	2011.01.03	-
    K7AntiVirus	9.75.3423	2011.01.03	-
    Kaspersky	7.0.0.125	2011.01.03	-
    McAfee	5.400.0.1158	2011.01.03	-
    McAfee-GW-Edition	2010.1C	2011.01.03	-
    Microsoft	1.6402	2011.01.03	-
    NOD32	5757	2011.01.03	a variant of Win32/Riern.AH
    Norman	6.06.12	2011.01.03	-
    nProtect	2011-01-03.01	2011.01.03	-
    Panda	10.0.2.7	2011.01.03	-
    PCTools	7.0.3.5	2011.01.03	-
    Prevx	3.0	2011.01.03	High Risk Fraudulent Security Program
    Rising	22.80.04.04	2010.12.31	-
    Sophos	4.60.0	2011.01.03	-
    SUPERAntiSpyware	4.40.0.1006	2011.01.03	-
    Symantec	20101.3.0.103	2011.01.03	-
    TheHacker	6.7.0.1.110	2011.01.03	-
    TrendMicro	9.120.0.1004	2011.01.03	-
    TrendMicro-HouseCall	9.120.0.1004	2011.01.03	-
    VBA32	3.12.14.2	2011.01.03	-
    VIPRE	7941	2011.01.03	-
    ViRobot	2011.1.3.4234	2011.01.03	-
    VirusBuster	13.6.125.0	2011.01.03	-
    Da scheint wohl der Übeltäter zu stecken. Wie fahre ich mit diesem fort?
     
  16. #15 Leonixx, 03.01.2011
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ok, Online Scan mit Eset durchführen. Arbeite die beschriebene Anleitung ab. Poste anschließend Logfile.

    Kostenlose Online Scanner

    Die Verbindung könnte ein Hinweis auf eine Umleitung sein.
     
  17. #16 Woomio, 04.01.2011
    Zuletzt bearbeitet: 05.01.2011
    Woomio

    Woomio Neuer Benutzer

    Dabei seit:
    30.12.2010
    Beiträge:
    11
    Zustimmungen:
    0
    Das mit dem Scan klappt (bisher) nicht so ganz, aber trotzdem mal ein 'Livebericht' von einem anderen PC:

    ESET stagniert sich ein bisschen zu Tode, nach einer halben Stunde hatte ich 99% und ca. 70.000 Dateien, mittlerweile hänge ich sehr lange (seit ca. 2h) bei 102k fest und stehe bei 4h20min, es läuft momentan noch, aber so glaube ich leider auch hier wieder nicht, dass ich zuende gescannt kriege.
    Gefunden wurde schon:
    "möglicherweise win32\startpage.BFuJABV Trojaner
    Variante von win32\Riern.AH Trojaner"

    Zwischendurch schlug der Spybot S&D Alarm mit folgender Meldung:
    "Kategorie: System Startup user entry
    Eintrag: Resadv
    Alte Daten: C:\Users\Mc B\App Data\Roaming\Grares\tabole.exe"
    Ich entschied mich für das standardmäßige 'Verweigern'.
    Gehe ich nun in den Ordner, hat Tabole.exe auch ein neues Änderungsdatum bekommen, nämlich heutiges mit 20:02 Uhr.

    edit:
    es gibt Neuigkeiten, gute sowie schlechte. Ich probier mal, dir soviel Information wie möglich zu geben:

    Der Scan war nach 8h doch fertig, gefunden wurden insgesamt nur die beiden oben beschriebenen Sachen.
    Diese löschte ich dann (wie in der Anleitung) und startete neu.
    Ein Logfile wurde mir erst gar nicht angeboten, die Möglichkeit habe war scheinbar nicht gegeben, habe ich irgendwas falsch gemacht bzw reden wir überhaupt vom selben Programm? (Eset Online Scanner (NOD32))

    Die vorherigen Symptome, die erst bei der Infizierung auftraten, waren weitestgehend weg.
    Der PC startete normal, der Explorer verschwand nicht mehr etc., alles soweit wie vorher. Außer, dass der Rechner
    auffällig laut war und immernoch relativ langsam beim Hochfahren.
    Die Datei Tabole.exe besitze ich jedoch zu meiner Überraschung immernoch, und zusätzlich ist mir aufgefallen,
    dass es sich um ein zugelassenes Autostartprogramm mit unbekanntem Herausgeber handelt.
    Kann es z.B. sein, dass ich noch mehr Viren besitze, welche ESET gefunden hat, und Tabole.exe damit auch gar nicht in
    Verbindung stand?
    Was sollte ich nun am besten tun?
     
  18. #17 Leonixx, 07.01.2011
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hatte dir geschrieben den Scan mit Emisoft durchzuführen. Bisher gab es keine Rückmeldung? Deshalb auch keine weitere Antwort. Wie lief der Scan?
     
  19. Woomio

    Woomio Neuer Benutzer

    Dabei seit:
    30.12.2010
    Beiträge:
    11
    Zustimmungen:
    0
    stimmt, da hast du Recht, aber ich habe die anderen Schritte jetzt als Alternative interpretiert, sodass ich mit Emsisoft nicht mehr gescannt habe, ich dachte neue Anweisungen beziehen sich nun auch auf das, was ich geschrieben habe.

    Hier der nachgeholte Scan, auffällig dabei:
    tabole wurde nicht mehr gefunden, beim ersten, leider abgebrochenen Scan hingegen schon.
    Bericht:
    Code:
    Emsisoft Emergency Kit - Version 1.0
    Letztes Update: 30.12.2010 23:01:22
    
    Scan Einstellungen:
    
    Scan Methode: Detail Scan
    Objekte: Speicher, Traces, Cookies, C:\, D:\
    Archiv Scan: An
    Heuristik: Aus
    ADS Scan: An
    
    Scan Beginn:	08.01.2011 12:26:40
    
    Value: HKEY_CLASSES_ROOT\AppID\TVUAx.DLL --> AppID 	gefunden: Trace.Registry.dl.tvunetworks.com!A2
    Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID 	gefunden: Trace.Registry.dl.tvunetworks.com!A2
    Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel 	gefunden: Trace.Registry.dl.tvunetworks.com!A2
    Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\TVUAx.DLL --> AppID 	gefunden: Trace.Registry.dl.tvunetworks.com!A2
    Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID 	gefunden: Trace.Registry.dl.tvunetworks.com!A2
    Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel 	gefunden: Trace.Registry.dl.tvunetworks.com!A2
    Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TVUPlayer --> NSIS:Language 	gefunden: Trace.Registry.dl.tvunetworks.com!A2
    
    Gescannt
    
    Dateien: 	341484
    Traces: 	398826
    Cookies: 	97
    Prozesse: 	74
    
    Gefunden
    
    Dateien: 	0
    Traces: 	7
    Cookies: 	0
    Prozesse: 	0
    Registry Keys: 	0
    
    Scan Ende:	08.01.2011 15:06:37
    Scan Zeit:	2:39:57
    
    Value: HKEY_CLASSES_ROOT\AppID\TVUAx.DLL --> AppID	Quarantäne Trace.Registry.dl.tvunetworks.com!A2
    Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID	Quarantäne Trace.Registry.dl.tvunetworks.com!A2
    Value: HKEY_CLASSES_ROOT\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel	Quarantäne Trace.Registry.dl.tvunetworks.com!A2
    Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\TVUAx.DLL --> AppID	Quarantäne Trace.Registry.dl.tvunetworks.com!A2
    Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} --> AppID	Quarantäne Trace.Registry.dl.tvunetworks.com!A2
    Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EA4FA88-E0BE-419A-A732-9B79B87A6ED0}\InprocServer32 --> ThreadingModel	Quarantäne Trace.Registry.dl.tvunetworks.com!A2
    Value: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TVUPlayer --> NSIS:Language	Quarantäne Trace.Registry.dl.tvunetworks.com!A2
    
    Quarantäne
    
    Dateien: 	0
    Traces: 	7
    Cookies: 	0
    
     
  20. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  21. #19 Leonixx, 08.01.2011
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Dann fällt mir erstmal nur ein die Datei manuell zu löschen, neuzustarten und nachschauen, ob die Datei im gleichen Pfad neu erstellt wurde.
     
  22. Woomio

    Woomio Neuer Benutzer

    Dabei seit:
    30.12.2010
    Beiträge:
    11
    Zustimmungen:
    0
    Hmm, ich habe es bei Avira manuell als verdächtige Datei in Quarantäne gestellt und löschen lassen, gibt ein besseres Gefühl als Rechtsklick auf die Datei -> Löschen ;)
    Und Tabole.exe war nach dem Neustart nicht mehr da, der Ordner blieb komplett leer.
    Aber ganz wohl fühl ich mich nicht - bei den Autostartprogrammen etwa wird es immernoch angezeigt, anstatt 'tabole.exe' jedoch einfach unter dem Namen 'N/A'. Evtl. einfach nur deaktivieren/ entfernen?
    Wie stufst den Fall dann insg. ein? :confused:
    Ich mein - ich habe nicht viel Ahnung von der Materie, und immerhin haben einige Scanner nichts mehr gefunden, aber so komplett wohl fühl ich mich noch nicht
     
Thema: Irgendwas größeres auf dem sich quälenden Rechner
Die Seite wird geladen...

Irgendwas größeres auf dem sich quälenden Rechner - Ähnliche Themen

  1. Internet Probleme mit meinem neuen Rechner(WLan-Stick)

    Internet Probleme mit meinem neuen Rechner(WLan-Stick): Guten Tag liebes Forum, ich habe ein Problem welches mir vor Stress langsam die Haare rausfallen lässt. Mein Internet funktioniert im Haus...
  2. langsames Internet, woran liegt's - Wlan-Stick, Rechner oder Signal?

    langsames Internet, woran liegt's - Wlan-Stick, Rechner oder Signal?: Hallo zusammen, ich rege mich in letzter Zeit enorm über meine Internetverbindung an meinem stationären PC auf. Allerdings kann ich nicht ganz...
  3. Neuer Fernseher 50" oder größer, ohne Hochglanzlack

    Neuer Fernseher 50" oder größer, ohne Hochglanzlack: Hallo. Ich such schon ewig nach nem neuen Fernseher, um ein paar Stunden am Tag zu gucken und hauptsächlich Konsole zocken: -Full HD -brauchbare...
  4. Große Abweichung auf der -12V Schiene

    Große Abweichung auf der -12V Schiene: Moin Leute, gerade wollte mein PC nicht mehr starten. Ich trennte das Netzteil für einige Minuten vom Strom, sodass sich die Kondensatoren...
  5. Rechner friert ein

    Rechner friert ein: Habe folgendes Problem und bin mit meinem Latein am Ende: Seit ungefähr 2 Wochen hängt sich mein Rechner jeden Morgen 1-2 mal auf und dann...