Laufwerk C: hat unbekannten Zuwachs

Diskutiere Laufwerk C: hat unbekannten Zuwachs im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Hallo, auf meiner Partition C: ist unlängst ein nicht identifizierbares Programm aufgetaucht, das sich jetzt beim Öffnen von C: im Arbeitsplatz...

  1. #1 eleasar, 31.07.2007
    eleasar

    eleasar Neuer Benutzer

    Dabei seit:
    31.07.2007
    Beiträge:
    10
    Zustimmungen:
    0
    Hallo, auf meiner Partition C: ist unlängst ein nicht identifizierbares Programm aufgetaucht, das sich jetzt beim Öffnen von C: im Arbeitsplatz einschleicht und mich fragt, mit welchem Programm ich es öffnen möchte. Weder mein Virenscanner noch meine Adware konnte etwas ungewöhnliches finden.
    Das unbekannte Programm lässt sich auch nicht im Explorer finden, von daher kann ich auch nichts löschen. Es macht sich bislang nicht bemerkbar, jedoch macht es mich unruhig zu wissen, das so etwas auf meinem PC existiert.
    Kann mir jemand weiterhelfen?
    Danke schon mal im Vorfeld!
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 eleasar, 31.07.2007
    eleasar

    eleasar Neuer Benutzer

    Dabei seit:
    31.07.2007
    Beiträge:
    10
    Zustimmungen:
    0
    hier mein highjack

    Logfile of HijackThis v1.99.1
    Scan saved at 18:33:31, on 31.07.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\QuickTime\qttask.exe
    D:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Programme\Adobe\Distillr\AcroTray.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    D:\Programme\a-squared Free\a2service.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\winrar\WinRAR.exe
    C:\DOKUME~1\sus\LOKALE~1\Temp\Rar$EX00.109\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {FB22DCCD-100C-480D-B600-CCD405346CCE} - C:\WINDOWS\system32\atnpvcno.dll (file missing)
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programme\a-squared Free\a2service.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Kerberos Key Distribution Centers (kkdc) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
     
  4. #3 Marc-Andre, 31.07.2007
    Marc-Andre

    Marc-Andre Erfahrener Benutzer

    Dabei seit:
    10.11.2006
    Beiträge:
    759
    Zustimmungen:
    0
    Ort:
    Saarland
    Scan deinen PC mal mit a-squared Free und danach bitte auf jeden Fall wieder ein Logfile von HijackThis hier rein setzen. Sieht im Logfile so aus als ob ein Wurm auf den PC ist.
     
  5. #4 Ostseesand, 31.07.2007
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    lade dir von hier---->klick ein tool zur entfernung deines kleinen bösewichtes herunter.

    scanne dann nochmal dein system mit einem virenscanner, adaware und spybot, sowie hijackthis.
     
  6. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Hi,

    ahh ein übersichtliches Logfile. Das ist doch ma schön:)

    Lade dir ma das Tool von dem Link ,den Ostseesand gepostet hat.

    Sieht wohl eher danach aus, dass die Dinger schon wieder weg sind :p

    Folgende Einträge deuten auf eine ehemalige Infizierung hin:

    O2 - BHO: (no name) - {FB22DCCD-100C-480D-B600-CCD405346CCE} - C:\WINDOWS\system32\atnpvcno.dll (file missing)

    O23 - Service: Kerberos Key Distribution Centers (kkdc) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

    Da hat wohl der Sasser Wurm auf deinem System gewütet, wie schon erwähnt wurde..

    Um zu schauen , ob noch Reste des Wurms drauf sind , mach folgendes:

    Lade dir den Norman Malware Cleaner

    * Cleanertool direktdownload --> Norman_Malware_Cleaner
    http://download.norman.no/public/Norman_Malware_Cleaner.exe
    * Deaktivieren der Systemwiederherstellung(http://www.bsi.de/av/texte/wiederher.htm)
    * Rechner in den abgesicherten Modus starten (beim start F8 drücken)
    * Auswahl der/des Laufwerks über - Add/Remove - am besten alle Laufwerke prüfen lassen
    * Start des Cleanertools mit - Start -
    * Eventuell nochmaliger durchlauf des Tools
    * Neustart des Systems in den Normalmodus
    * Poste die Funde der gefundenen Schädlinge die Logdatei wird auf dem Desktop abgelegt


    Achja, die beiden Einträge von oben , kannst du mit Hijackthis fixen.


    Wie fixe ich?
    *Geh in Abgesicherten Modus (Beim Bootvergang deines Pc's mehrmals hintereinander F8 drücken->Abgesicherten Modus ohne Netzwerktreiber auswählen)
    *Starte Hijackthis
    *Starte ein Durchlauf
    *Danach erscheint das Logfile +Fenster mit mehreren Einträgen(O2 usw.)
    *Haken bei den entsprechenden Einträgen
    *Klicke auf "Fix Checked"

    Mfg
     
  7. #6 eleasar, 01.08.2007
    eleasar

    eleasar Neuer Benutzer

    Dabei seit:
    31.07.2007
    Beiträge:
    10
    Zustimmungen:
    0
    Hallo,
    habe alles so gemacht wie von euch empfohlen. habe gescannt, nach würmern gesucht. ohne erfolg:
    den scan mit dem ergebnis
    Norman Malware Cleaner
    Copyright © 1990 - 2007, Norman ASA. Built 2007/07/26 19:04:54

    Norman Scanner Engine Version: 5.91.02
    Nvcbin.def Version: 5.90.00, Date: 2007/07/26 19:04:54, Variants: 1
    Nvcmacro.def Version: 5.90.00, Date: 2007/07/26 19:04:54, Variants: 12
    Running pre-scan cleanup routine:
    Operating System: Microsoft Windows XP Professional 5.1.2600(Safe mode) Service Pack 2
    Logged on user: RECHNER\sus


    Scan started: 01/08/2007 11:53:15


    Scanning running processes and process memory...

    Number of processes/threads found: 481
    Number of processes/threads scanned: 481
    Number of processes/threads not scanned: 0
    Number of infected processes/threads terminated: 0
    Total scanning time: 8s


    Scanning file system...

    Scanning: C:\*.*

    C:\Dokumente und Einstellungen\sus\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDE7WLMR\register[1].php/unknown0 (Error whilst scanning file: I/O Error)

    C:\Dokumente und Einstellungen\sus\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S12FIB85\register[1].php/unknown0 (Error whilst scanning file: I/O Error)

    Scanning: D:\*.*

    Scanning: E:\*.*

    Scanning: H:\*.*


    Running post-scan cleanup routine:

    Number of files found: 115020
    Number of archives unpacked: 227
    Number of files scanned: 114979
    Number of files not scanned: 41
    Number of files skipped due to exclude list: 0
    Number of infected files found: 0
    Number of infected files repaired/deleted: 0
    Number of infections removed: 0
    Total scanning time: 36m 31s



    hier die ergebnisse von highjack

    Logfile of HijackThis v1.99.1
    Scan saved at 14:41:34, on 01.08.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    D:\Programme\a-squared Free\a2service.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\rundll32.exe
    D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Programme\Adobe\Distillr\AcroTray.exe
    C:\Programme\PC Connectivity Solution\ServiceLayer.exe
    D:\Programme\hijack\hijackthis_199\HijackThis.exe
    C:\WINDOWS\system32\wuauclt.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programme\a-squared Free\a2service.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Kerberos Key Distribution Centers (kkdc) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

    das problem, das meine festplatte C: immer noch von unangenehmen besuch befallen ist, hat sich bisher nicht gelöst.
    vielen dank schon mal bis hierher, wenn ihr noch ne idee habt wäre ich sehr dankbar
     
  8. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Hi,

    fixe bitte mit Hijackthis noch diesen Eintrag:

    O23 - Service: Kerberos Key Distribution Centers (kkdc) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)


    Was meinst du damit genau?
    Woher weißt du , dass noch Viren auf deinem Pc sind?
    Gibt es irgendwelche Anzeichen , die deine Vermutung bestätigen?
    Meldet sich AntiVir?Wenn ja , poste bitte ma die Meldung.

    Mach bitte nochma folgendes:

    *Geh in den Ordner von Hijackthis
    *Schau nach dem Symbol womit man Hijackthis startet
    *Mach ein Rechtsklick auf das Symbol(Das mit dem Sprengstoff) und benne esin ABC um
    *Lass danach Hijackthis durchlaufen und poste nochma ein Logfile



    Mfg
     
  9. #8 eleasar, 02.08.2007
    eleasar

    eleasar Neuer Benutzer

    Dabei seit:
    31.07.2007
    Beiträge:
    10
    Zustimmungen:
    0
    ola,
    habe hijackthis umbenannt und versucht den eintrag 023 zu fixen. jedoch erscheint dieser eintrag immer wieder. habe ihn sowohl im abgesicherten modus als auch im normalmodus versucht zu fixen

    Logfile of HijackThis v1.99.1
    Scan saved at 09:28:42, on 02.08.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    D:\Programme\a-squared Free\a2service.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\rundll32.exe
    D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Programme\Adobe\Distillr\AcroTray.exe
    C:\Programme\PC Connectivity Solution\ServiceLayer.exe
    D:\Programme\hijack\hijackthis_199\abc.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programme\a-squared Free\a2service.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Kerberos Key Distribution Centers (kkdc) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

    ich weiß, das noch irgendetwas auf dem laufwerk sein muss, da beim öffnen des laufwerks zwei unbekannte programme mit erscheinen. siehe dateianhang
     
  10. #9 wolfheart, 02.08.2007
    wolfheart

    wolfheart Erfahrener Benutzer

    Dabei seit:
    29.01.2007
    Beiträge:
    2.954
    Zustimmungen:
    0
    Hey eleasar,

    dafür solltest Du das hier benutzen:
    Danach machst Du noch mal einen Logfile.
    der Miesling ist nicht einfach so zu fixen. Deshalb nimm dieses von O. vorgeschlagene Tool, puste dem Wurm das Licht aus und schicke uns Dein File ;)
     
  11. #10 eleasar, 02.08.2007
    eleasar

    eleasar Neuer Benutzer

    Dabei seit:
    31.07.2007
    Beiträge:
    10
    Zustimmungen:
    0
    ola,
    habe wie von dir empfohlen noch mal nach dem wurm gesucht, jedoch kam die meldung es gäbe keinen wurm.
    danach habe ich versucht zu fixen, ging natürlich auch nicht. dann habe ich den prozess
    C:\WINDOWS\system32\lsass.exe
    gestoppt! was wohl ein großer fehler war. habe die letzte stunde damit zugebracht mein betriebssystem neu aufzusetzten. hier der neueste hijack

    Logfile of HijackThis v1.99.1
    Scan saved at 16:41:24, on 02.08.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    D:\Programme\a-squared Free\a2service.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\rundll32.exe
    D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Programme\Adobe\Distillr\AcroTray.exe
    C:\Programme\PC Connectivity Solution\ServiceLayer.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    D:\Programme\hijack\hijackthis_199\abc.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programme\a-squared Free\a2service.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Kerberos Key Distribution Centers (kkdc) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
     
  12. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Ja das war ein Fehler die lsass.exe zu beenden :p

    Sehr leicht zu verwechseln Klick


    Der Eintrag ist immer noch...
    O23 - Service: Kerberos Key Distribution Centers (kkdc) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)

    Sag ma hast du irgendwelche Datein gesichert bevor do formatiert hast und dann wieder auf den neu formatierten Pc geladen?


    Habe jetzt nicht genug Zeit ,um mich mit dem Problem zu befassen.
    Werde mich dann später noch ma dransetzen.
    Vielleicht kann der Kollege wolfheart einspringen:)

    Mfg
     
  13. #12 Marc-Andre, 02.08.2007
    Marc-Andre

    Marc-Andre Erfahrener Benutzer

    Dabei seit:
    10.11.2006
    Beiträge:
    759
    Zustimmungen:
    0
    Ort:
    Saarland
    Heist dass dass du das System neu auf den PC gemacht hast?

    Wie mfsto schon schrieb der Eintrag ist noch da.

    Sacan Deinen PC mal mit McAfe AVERT Stinger und schreibt ob er was gefunden hat. Wen er was gefunden hat und entfernen konnte dann mach mal wieder ein Logfile mit HijackThis und setzt es wieder hier rein.
     
  14. #13 Ostseesand, 02.08.2007
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    wenn mein tool nix gefunden hat, dann hast du nicht nur die lsass drauf, sondern auch schon angeknabberte dateien im verzeichnis system32.
    man könnte nun nachsehen welche es sind, dazu muss man aber für jede datei die checksumme berechnen und mit den originalen vergleichen.

    wie meinst du das , du hast windows neu installiert?
    ist nun das infizierte windows weg? und hast die akten programme und daten wieder reinkopiert? oder wie kann man das nun verstehen.

    ich rate dir, wenn das tool nicht greift und du sonst nix findest, installier das windows neu, mit option: partition löschen und neu anlegen lassen bei der installation.
    das ist schneller, als die menge an daten zu kontrollieren, die verändert worden sind. selbst dann hättest du schwierigkeiten die wieder zu originalen zu machen.

    viele gehen immer davon aus, ein virus ist eine datei die man löschen kann.
    irrtum------->
    denn das ist schon lange vorbei, heute wird an den windowsdateien rum-operiert, dass was nachgeladen werden kann, xp sicherheitsfunktionen abgeschaltet werden und firewalls eine augenklappe verpasst wird und zu guter letzt passwörter abgehört werden.

    mich würde nun wenn das system noch steht, interessieren was ein spybot-scan ergibt.
    ich wette, dass da einiges zu finden ist.
     
  15. #14 eleasar, 02.08.2007
    eleasar

    eleasar Neuer Benutzer

    Dabei seit:
    31.07.2007
    Beiträge:
    10
    Zustimmungen:
    0
    hallo,
    ich hatte einfach das XP drüber installiert, nachdem hier gar nichts mehr ging. jedoch geht jetzt erst recht nichts mehr, dh. meine windows-updates werden nicht angenommen, der internet explorer spinnt total und stürzt dauernd weg.
    und im system ist immer noch genau der gleiche eintrag wie gehabt.
    da hilft wohl nichts als den ganzen rechner platt machen, formatieren und neu aufsetzen.
    kann ich den problemlos und vor allem schadensfrei meine dateien retten oder ist hiervon auch abzuraten.
    schluchz?
     
  16. #15 Ostseesand, 02.08.2007
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    die beste methode wäre:
    alle wichtigen daten auf cd oder dvd brennen, oder auf eine externe platte kopieren.
    dann rechner platt machen... partition löschen und neu anlegen lassen und win neu installieren.
    antivir und firewall installieren.
    wenn alles auf dem neuesten stand gebracht ist, dann die cd, dvd oder externe platte auf viren prüfen.
    ERST dann deine daten auf die platte ziehen.
     
  17. #16 eleasar, 02.08.2007
    eleasar

    eleasar Neuer Benutzer

    Dabei seit:
    31.07.2007
    Beiträge:
    10
    Zustimmungen:
    0
    ohweh,
    hatte ich mir fast gedacht. danke für die hilfreichen tips und unterstützung. melde mich wieder, hoffentlich mit positiven news, wenn alles geklappt hat.
    lg
     
  18. #17 eleasar, 03.08.2007
    eleasar

    eleasar Neuer Benutzer

    Dabei seit:
    31.07.2007
    Beiträge:
    10
    Zustimmungen:
    0
    hallo leute,
    bin nach langem sichern und aufsetzten von systemen wieder hier. war das erste mal für mich alles ganz alleine zu machen und ich bin stolz, das es geklappt hat.
    hier mein hijack
    Logfile of HijackThis v1.99.1
    Scan saved at 16:41:23, on 03.08.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\DOKUME~1\sus\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.2
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

    na, sieht das nicht super aus!!!
    nochmal vielen dank auch an die anderen autoren hier im forum, von denen ich mir doch so manchen schritt im installieren von xp abgeschaut habe.
    lg und schönes we
     
  19. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  20. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Jop das Logfile ist sauber:)




    Für die Zukunft-->
    1.)Beim Surfen im Netz genau schauen , was für Seiten du besuchts.
    Es gibt Seiten , die manipuliert sind , wodurch automatisch sogenannte Dropper runtergeladen werden .Dieser lädt dann weitere Schädlinge aus dem Netz nach.
    Also immer gut aufpassen.
    2.) Wenn du Chat Programm wie MSN , ICQ benutzt--> Schon länger geht da der "MSN Virus" umher , d.h du kriegst von Leuten aus deiner Liste die damit infiziert sind automatisch ohne deren Kontrolle Links geschickt , die z.B wiefolgt aussehen: "Hot Pics..." Dann eben noch ein Link.
    Niemals auf solche Nachrichten eingehen bzw . irgendwas downloaden.
    Die Trojaner sind zwar zum Teil wieder wegzukriegen , trotzdem ist es vermeidbar.
    3.) Virus Programm bzw. Windows immer aktuell halten -->Updates
    4.) Regelmäßig VirenScan machen +Programme wie Spybot drüberlaufen laufen lassen
    und und

    Mfg
     
  21. #19 Ostseesand, 03.08.2007
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    das solltest du dir unbedingt zu herzen nehmen.
    spybot ist in diesem jahr so wichtig wie nie.
     
Thema: Laufwerk C: hat unbekannten Zuwachs
Besucher kamen mit folgenden Suchen
  1. woher weiss ich bei einem unbekannten programm auf welchem laufwerk es liegt

Die Seite wird geladen...

Laufwerk C: hat unbekannten Zuwachs - Ähnliche Themen

  1. DVD Laufwerk defekt/blockiert

    DVD Laufwerk defekt/blockiert: Hallo zusammen, mein MacBook Pro 17 Zoll zieht keine CD mehr rein. Es ist so als ob eine CD im Laufwerk wäre, dies aber nicht der Fall ist. Nun...
  2. Androidtablet als MTP unbekannt.

    Androidtablet als MTP unbekannt.: Guten Abend, so kurz vor Jahresende habe ich ein Problem. Ich habe ein Androidtablet, und wollte nun Musik draufpacken. Der PC macht zwar das...
  3. roter Balken bei Laufwerk c weg

    roter Balken bei Laufwerk c weg: Hallo, mein Problem ist, Laufwerk c zeigt plötzlich keinen roten Balken mehr an. (Speicher voll) Das Laufwerk an sich wird angezeigt.. Wie bekomme...
  4. Windows 7 verschiebt keine Dateien mit chinesischen Schriftzeichen zwischen Laufwerken

    Windows 7 verschiebt keine Dateien mit chinesischen Schriftzeichen zwischen Laufwerken: Hallo, ich habe ein paar Dateien, die im Titel chinesische Schriftzeichen haben, und ich wollte sie auf einen NAS-Ordner schieben. Ich bekomme...
  5. C# und MySQL

    C# und MySQL: Hallo zusammen! Ich bräuchte dringend hilfe von Experten, da ich ein totaler Anfänger bin. Ich habe eine vorhandene Excel Tabelle. Diese soll in...