Computerhilfen.de
Hilfe und Tipps => Antivirus Sicherheit => Thema gestartet von: Silencer23 am 05.10.08, 10:49:44
-
Unbekannte Datei verhindert Shut Down ( falgzmbw.exe )
Seit gestern befindet sich eine Datei auf meinem PC mit dem Titel 'Falgzmbw', welche als exe sich automatisch startet. Sie taucht weder im autostart, bei den diensten, via Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP suche, bei Ad-Aware, Spybot oder Hijackthis (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) auf.
Sie hat direkt den Zugriff auf das Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) gefordert, welches ich verweigert habe.
Beim herunterfahren des PCs erscheint das bekannte 'falgzmbw.exe - Programm beenden', welches dann immer erscheint, wenn Programme noch laufen nach dem shut down befehl. Drücke ich 'sofort beenden' schaltet sich der PC ohne probleme aus. Lasse ich es beenden, kommt wenige sek. danach 'Programm konnte nicht beendet werden' und der PC bleibt an.
Da selbst die Google suche nichts findet)0 Treffer!), bin ich hierbei sehr üvberfragt. Auch wenn das Programm gutmütig ist, würde ich gerne wissen, wie ich es aus dem autostart herausbekomme oder zumindest normal beenden kann.
Die wichtigsten Daten meines NOtebooks(!):
Intel Centrino Core Duo(2x2,0)
3 GB Ram
WinXP SP3
Samsung Festplatte
Intel Grafikchip
Mein Computer-System:
Mein PC ist etwa 0-2 Jahre alt.
-
Hallo,
es muss etwas im Autostart vorhanden sein, das diese Datei startet. Kann nätürlich im Autostart einen anderen Namen haben.
-
Leider nein.
Im msconfig->Sytemstart sind genau 4 sachen drin(Viren,Firewall,OpenOfficestarter und Audiotreber). Bei den Diensten ist auch nichts neues/ungewöhnliches außer den normalen Diensten.
-
Das Programm ist im Task-Manager auch im Benutzer aufgeführt, und nicht im System.
Es erscheint, seit ich gestern eine Demo von Partition (http://www.computerhilfen.de/fachbegriffe-p-Partition.html) Manager von chip.de gezogen, installiert udn gestartet habe. Aufgrund einer Fehlermeldung des Programmes habe ich die Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) direkt wieder deinstalliert. Ich meine, dass seit dem dieses Progamm auftaucht. Ich fände es doch allerdings sehr seltsam, da ich schon hunderte programme von chip.de heruntergeladen ahbe. Auch das selbe Programme ein halbes Jahr zuvor. Denke, dass es damit eher nicht zusammenhängt.
-
Die datei Kann auch an den Explorerstart angehängt werden.Dies ist über gruppenrichtlienien möglich.
entweder über den gruppenrichlinien editor dies abändern oder mit Autoruns von systernals den start dieser datei unterbinden.
Alternativ Auf sauberem system eine BartPE cd anfertigen und damit dann die datei von der platte löschen.
mfg
-
Und wie komme ich an diese Autoruns oder an diese CD? Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) ist nicht gerade mein Fachgebiet.
-
Start/Ausführen und msconfig eingeben.
Reiter: Systemstart
-
Worfür erstellst du einen zusätzlichen Thread im Trojaner-Board. Führe bitte die Anweisungen dort aus, da es sich bei der Datei um Malware handeln wird!!
-
Weil ich nicht wusste, das beide Foren zueinander gehören und ich beide Foren als sehr kompetent angesehen habe ;)
-
http://www.hijackthis.de/ wäre nicht schlecht .....
-
..zu Trojaner (http://www.computerhilfen.de/fachbegriffe-t-Trojaner.html) Board..sage ich dir nur, die reparieren Unnütz! Wo sie nur können und Kritik daran vertragen Sie NuLL! ;D 8)
-
..zu Trojaner (http://www.computerhilfen.de/fachbegriffe-t-Trojaner.html) Board..sage ich dir nur, die reparieren Unnütz! Wo sie nur können und Kritik daran vertragen Sie NuLL! ;D 8)
ok ;D
@HCK
Das Programm zeigt leider nichts an. Wie schon im Eingangspost beschrieben. Es entfernt lediglich die typischen cookies.
-
HIER zeigen wäre besser...,mal sehen , wasalles noch gestartet wird .
Ggf mal TuneUp Testphase nutzen , sehr gute Anzeige " was mit System gestartet wird" incl RUN & RUN_ONCE
Du bist nicht allein ....
http://www.google.de/search?q=falgzmbw.exe)&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a
-
Mit msconfig kann man nur auf die run schlüssel der regestry einfluß nehmen,dies scheint einigen hier entgangen zusein.
Autoruns von systernals ist nach einer sucher mit einer suchmaschiene erhältlich:
http://www.heise.de/software/download/autoruns/15431
einige infos zum pogramm können sicher nicht schaden.
Eine Bart PPe muß man selber machen.sofern eine orginal windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP xd vorhanden ist.Eine OEM ist ungeeignet.
Man braucht aber ein sauberes system ohne gäste,eventuel mal freunde oder bekannte um hilfe bitten.
Von Tuneup finger weg,die erforderlichen infos bekommt man rückstandsfreier mit Autoruns.
-
@ HCK
Die ganzen Google Links führen nur zu meinen beiden Thema. Bin doch allein ;)
Hijack Log:
Logfile of Trend Micro HijackThis (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) v2.0.2
Scan saved at 16:32:34, on 05.10.2008
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP SP2 (WinNT 5.01.2600)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\AMT\atchksrv.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
c:\WINDOWS\system32\ifxspmgt.exe
c:\WINDOWS\system32\ifxtcs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Intel\AMT\LMS.exe
C:\Programme\O2Micro Oz128 Driver\o2flash.exe
c:\WINDOWS\system32\IfxPsdSv.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\AMT\UNS.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fozghohg\falgzmbw.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\QIP\qip.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.intl.acer.yahoo.com/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [hR4h4kCnAS] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fozghohg\falgzmbw.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Broken Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) access because of LSP provider (http://www.computerhilfen.de/fachbegriffe-p-Provider.html) 'c:\programme\bonjour\mdnsnsp.dll' missing
O20 - Winlogon Notify: AWinNotifyVitaKey MC3000 - C:\WINDOWS\
O20 - Winlogon Notify: spba - C:\Programme\Gemeinsame Dateien\SPBA\homefus2.dll
O23 - Service: Intel(R) Active Management Technology System Status Service (atchksrv) - Intel Corporation - C:\Programme\Intel\AMT\atchksrv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - c:\WINDOWS\system32\ifxspmgt.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - c:\WINDOWS\system32\ifxtcs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel Corporation - C:\Programme\Intel\AMT\LMS.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Programme\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: Personal Secure Drive-Dienst (PersonalSecureDriveService) - Infineon Technologies AG - c:\WINDOWS\system32\IfxPsdSv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) Active Management Technology User Notification Service (UNS) - Intel Corporation - C:\Programme\Intel\AMT\UNS.exe
O23 - Service: TrueVector Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 7620 bytes
Seltsam: Er zeigt mir den IE an, obwohl Opera mein Standardproser ist. Seit dem letzte Reboot ist das Ding wieder da. ICh kann es allerdings nicht herauslöschen bei Hijack
-
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP SP2 (WinNT 5.01.2600)
Unbedingt aus SP3 updaten & alle danach einspielen .
Hast Du die Scans im Abges.Modus gemacht ?
[?] - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fozghohg\falgzmbw.exe
Gefixt ?
Du solltest mal komplett saubermachen :
zuerst : Zubehör .....
Plattenbereinigung machen zum löschen aller temporären Dateien
-------------------------------------------------------------------------------------------------------------
Virenscan unbedingt immer im abgesicherten Modus machen !
Denn im Normalmodus sind etliche Dateien gesperrt .
Ausserdem verstecken sich welche ggf in der Systemwiederherst.
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)
-------------
Viren-Vollscan machen mit MalwareBytes
http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html
http://www.zdnet.de/windows_verschluesseln_und_sichern_malwarebytes__anti_malware_download-39002345-88313-1.htm
-------------
Systemwiederherst. wenn OK = wieder AN
Normalstart und Systemwiederherstellungspunkt setzen .
-
japp, im abgesicherten Modus.
Wie bekomme ich die anderen Programme weg, die du mit Fragezeichen versehen hast?
Ich lass dann nochmal MalwareBytes drüberlaufen
-
HJT Starten , LOG ansehen , vedächtige im anderen Kasten AN-haken , FIXEN ...
Danach gleich Plattenbereinigung machen , dannden Vollscan anhängen..