Welcome to Computerhilfen.de, your free pc help site. Please take a look at our english website at www.computerhilfen.com where you find tips and help in english and can also ask questions in our english help board.
Unbekannte Datei verhindert Shut Down ( falgzmbw.exe )
Seit gestern befindet sich eine Datei auf meinem PC mit dem Titel 'Falgzmbw', welche als exe sich automatisch startet. Sie taucht weder im autostart, bei den diensten, via Windows XP suche, bei Ad-Aware, Spybot oder Hijackthis auf.
Sie hat direkt den Zugriff auf das Internet gefordert, welches ich verweigert habe.
Beim herunterfahren des PCs erscheint das bekannte 'falgzmbw.exe - Programm beenden', welches dann immer erscheint, wenn Programme noch laufen nach dem shut down befehl. Drücke ich 'sofort beenden' schaltet sich der PC ohne probleme aus. Lasse ich es beenden, kommt wenige sek. danach 'Programm konnte nicht beendet werden' und der PC bleibt an.
Da selbst die Google suche nichts findet)0 Treffer!), bin ich hierbei sehr üvberfragt. Auch wenn das Programm gutmütig ist, würde ich gerne wissen, wie ich es aus dem autostart herausbekomme oder zumindest normal beenden kann.
Leider nein. Im msconfig->Sytemstart sind genau 4 sachen drin(Viren,Firewall,OpenOfficestarter und Audiotreber). Bei den Diensten ist auch nichts neues/ungewöhnliches außer den normalen Diensten.
Das Programm ist im Task-Manager auch im Benutzer aufgeführt, und nicht im System. Es erscheint, seit ich gestern eine Demo von Partition Manager von chip.de gezogen, installiert udn gestartet habe. Aufgrund einer Fehlermeldung des Programmes habe ich die Software direkt wieder deinstalliert. Ich meine, dass seit dem dieses Progamm auftaucht. Ich fände es doch allerdings sehr seltsam, da ich schon hunderte programme von chip.de heruntergeladen ahbe. Auch das selbe Programme ein halbes Jahr zuvor. Denke, dass es damit eher nicht zusammenhängt.
Die datei Kann auch an den Explorerstart angehängt werden.Dies ist über gruppenrichtlienien möglich. entweder über den gruppenrichlinien editor dies abändern oder mit Autoruns von systernals den start dieser datei unterbinden. Alternativ Auf sauberem system eine BartPE cd anfertigen und damit dann die datei von der platte löschen.
Worfür erstellst du einen zusätzlichen Thread im Trojaner-Board. Führe bitte die Anweisungen dort aus, da es sich bei der Datei um Malware handeln wird!!
Mit msconfig kann man nur auf die run schlüssel der regestry einfluß nehmen,dies scheint einigen hier entgangen zusein. Autoruns von systernals ist nach einer sucher mit einer suchmaschiene erhältlich: http://www.heise.de/software/download/autoruns/15431 einige infos zum pogramm können sicher nicht schaden.
Eine Bart PPe muß man selber machen.sofern eine orginal windows XP xd vorhanden ist.Eine OEM ist ungeeignet. Man braucht aber ein sauberes system ohne gäste,eventuel mal freunde oder bekannte um hilfe bitten.
Von Tuneup finger weg,die erforderlichen infos bekommt man rückstandsfreier mit Autoruns.
Die ganzen Google Links führen nur zu meinen beiden Thema. Bin doch allein
Hijack Log:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:32:34, on 05.10.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.intl.acer.yahoo.com/ R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKLM\..\Policies\Explorer\Run: [hR4h4kCnAS] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fozghohg\falgzmbw.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\WINDOWS\ O20 - Winlogon Notify: spba - C:\Programme\Gemeinsame Dateien\SPBA\homefus2.dll O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Programme\Intel\AMT\atchksrv.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - c:\WINDOWS\system32\ifxspmgt.exe O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - c:\WINDOWS\system32\ifxtcs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Programme\Intel\AMT\LMS.exe O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Programme\O2Micro Oz128 Driver\o2flash.exe O23 - Service: Personal Secure Drive-Dienst (PersonalSecureDriveService) - Infineon Technologies AG - c:\WINDOWS\system32\IfxPsdSv.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Programme\Intel\AMT\UNS.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
-- End of file - 7620 bytes
Seltsam: Er zeigt mir den IE an, obwohl Opera mein Standardproser ist. Seit dem letzte Reboot ist das Ding wieder da. ICh kann es allerdings nicht herauslöschen bei Hijack
close
Gespeichert
Bookmark:
