Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Windows XP: Was ist der Prozesse ikowswa.exe im Taskmanager?

Nachdem wieder ein Trojaner gefunden wurde,bekam ich den Rat die Prozesse im Taskmanager zu prüfen. Ein Prozess, ikowswa.exe,kann ich nicht zuordnen und finde auch bei Google nichts. Kann mir jemand sagen wofür dieser Prozess verantwortlich ist?


Mein Computer-System:
   
Mein PC ist etwa 5-6 Jahre alt.



Antworten zu Windows XP: Was ist der Prozesse ikowswa.exe im Taskmanager?:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo, dann kümmern wir uns mal um ihn ;-)
1. malwarebytes
http://www.malwarebytes.org/mbam.php

Lade es herunter, installiere es und wähle bei Reiter:

-> “Update “> “Suche nach Aktualisierungen“
-> “Einstellungen“> “Beende Internet Explorer während des Löschvorgangs“
-> “Scanner”> "Quickscan durchfuehren".

Wenn am Ende Infizierungen gefunden werden,anhaken und entfernen lassen. Starte dein Rechner neu

2. hijackthis:

Combofix

Downloade es von
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf
den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

3. hijackthis:

Download:
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip

Lade/entpacke HijackThis in einen extra Ordner, Benenne Hijackthis in HJT um, starte es und waehle
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

auch combofix und malwarebytes log posten.
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Nimm lieber die Combofix Anleitung markusg, die andere Seite ist finde ich zu verwirrend für noobs.

http://virus-protect.org/artikel/tools/combofix.html
 

Hallo zusammen,
habe jetzt alle Logfiles und bitte,dass mal jemand drüber schaut,ob alles okay ist:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1742
Windows 5.1.2600 Service Pack 3
10.02.2009 06:46:55
mbam-log-2009-02-10 (06-46-55).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58991
Laufzeit: 6 minute(s), 29 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
2.
ComboFix 09-02-08.02 - HansMustermann 2009-02-10  7:12:36.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.1.1031.18.511.230 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\HansMustermann\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
 * Neuer Wiederherstellungspunkt wurde erstellt
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Internet Explorer.lnk
c:\dokumente und einstellungen\HansMustermann\Lokale Einstellungen\Anwendungsdaten\ikowswa.dat
c:\dokumente und einstellungen\HansMustermann\Lokale Einstellungen\Anwendungsdaten\ikowswa.exe
c:\dokumente und einstellungen\HansMustermann\Lokale Einstellungen\Anwendungsdaten\ikowswa_nav.dat
c:\dokumente und einstellungen\HansMustermann\Lokale Einstellungen\Anwendungsdaten\ikowswa_navps.dat
.
(((((((((((((((((((((((   Dateien erstellt von 2009-01-10 bis 2009-02-10  ))))))))))))))))))))))))))))))
.
2009-02-08 22:07 . 2009-02-08 21:57   15,688   --a------   c:\windows\system32\lsdelete.exe
2009-02-08 22:07 . 2009-02-08 22:10   86   --ah-----   C:\aaw7boot.cmd
2009-02-08 21:58 . 2009-02-08 21:57   64,160   --a------   c:\windows\system32\drivers\Lbd.sys
2009-02-08 21:56 . 2009-02-08 21:56   <DIR>   d--------   c:\programme\Lavasoft
2009-02-08 21:56 . 2009-02-08 21:57   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-02-08 21:56 . 2009-02-08 21:56   <DIR>   d--h-c---   c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-02-08 21:45 . 2009-02-08 21:45   <DIR>   d--------   c:\programme\Malwarebytes' Anti-Malware
2009-02-08 21:45 . 2009-02-08 21:45   <DIR>   d--------   c:\dokumente und einstellungen\HansMustermann\Anwendungsdaten\Malwarebytes
2009-02-08 21:45 . 2009-02-08 21:45   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-08 21:45 . 2009-01-14 16:11   38,496   --a------   c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-08 21:45 . 2009-01-14 16:11   15,504   --a------   c:\windows\system32\drivers\mbam.sys
2009-02-08 21:03 . 2009-02-08 22:00   <DIR>   d--------   c:\dokumente und einstellungen\HansMustermann\Spybot - Search & Destroy
2009-02-08 20:56 . 2009-02-08 20:56   <DIR>   d--------   c:\programme\TeaTimer (Spybot - Search & Destroy)
2009-02-08 20:56 . 2009-02-08 20:56   <DIR>   d--------   c:\programme\SDHelper (Spybot - Search & Destroy)
2009-02-08 20:56 . 2009-02-08 20:56   <DIR>   d--------   c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-02-08 20:56 . 2009-02-08 20:56   <DIR>   d--------   c:\programme\File Scanner Library (Spybot - Search & Destroy)
2009-02-08 20:51 . 2009-02-08 22:00   <DIR>   d--------   c:\programme\Spybot - Search & Destroy
2009-02-08 20:51 . 2009-02-10 06:51   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-08 20:30 . 2009-02-08 20:30   <DIR>   d--------   c:\programme\CCleaner
2009-02-08 19:41 . 2009-02-08 19:41   <DIR>   d--------   c:\programme\Trojancheck 6
2009-01-30 19:09 . 2009-02-08 18:09   <DIR>   d--------   c:\windows\BDOSCAN8
2009-01-30 18:47 . 2009-01-30 18:47   <DIR>   d--------   c:\dokumente und einstellungen\HansMustermann\.housecall6.6
2009-01-30 13:48 . 2009-01-30 13:48   <DIR>   d--------   c:\windows\system32\Kaspersky Lab
2009-01-30 13:48 . 2009-01-30 13:48   <DIR>   d--------   c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-10 05:35   ---------   d-----w   c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-02-07 08:12   ---------   d-----w   c:\dokumente und einstellungen\HansMustermann\Anwendungsdaten\UseNeXT
2009-01-30 17:35   87,607   ----a-w   C:\INSTALL.DAT
2009-01-06 17:47   ---------   d-----w   c:\programme\Ubisoft
2009-01-06 17:17   ---------   d--h--w   c:\programme\InstallShield Installation Information
2009-01-06 17:17   ---------   d-----w   c:\programme\GameShadow
2008-12-17 15:46   ---------   d-----w   c:\programme\Rockstar Games
2008-12-14 15:24   ---------   d-----w   c:\programme\THQ
2008-12-11 10:57   333,952   ----a-w   c:\windows\system32\drivers\srv.sys
2000-11-03 13:53   73,728   ----a-w   c:\dokumente und einstellungen\ISPDir\HPBI.exe
2000-11-01 08:59   40,960   ----a-w   c:\dokumente und einstellungen\ISPDir\commands.exe
2008-06-01 16:16   32,768   --sha-w   c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008060120080602\index.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 94208]
"SpybotSD TeaTimer"="c:\dokumente und einstellungen\HansMustermann\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StorageGuard"="c:\programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" [2003-02-13 155648]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-03-09 7561216]
"HPDJ Taskbar Utility"="c:\windows\System32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-28 188416]
"PSDrvCheck"="c:\windows\System32\PSDrvCheck.exe" [2003-08-28 396800]
"Share-to-Web Namespace Daemon"="c:\programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 69632]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-03-09 86016]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-08 509784]
"Dit"="Dit.exe" [2002-08-28 c:\windows\Dit.exe]
"Cmaudio"="cmicnfg.cpl" [2003-09-18 c:\windows\CMICNFG.CPL]
"nwiz"="nwiz.exe" [2006-03-09 c:\windows\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
--a------ 2003-12-27 19:43 81920 c:\programme\D-Tools\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a------ 2003-06-24 15:23 61440 c:\programme\HomeCinema\PowerCinema\PCMService.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\THQ\\Dawn of War - Soulstorm\\Soulstorm.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
R0 d344bus;d344bus;c:\windows\system32\drivers\d344bus.sys [2004-10-13 137216]
R0 d344prt;d344prt;c:\windows\system32\drivers\d344prt.sys [2004-10-13 5248]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-08 64160]
R1 NETDSL;AVM PPP over Ethernet;c:\windows\system32\drivers\netdsl.sys [2006-08-25 11264]
R3 AVMUNET;AVM FRITZ!Box;c:\windows\system32\drivers\avmunet.sys [2007-04-16 15104]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;c:\windows\system32\drivers\PhTVTune.sys [2004-01-13 24704]
S0 ndisrd;ndisrd;


S3 iMSPCLOj;iMSPCLOj;\??\c:\dokume~1\Cevin\LOKALE~1\Temp\iMSPCLOj.sys --> c:\dokume~1\Cevin\LOKALE~1\Temp\iMSPCLOj.sys [?]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]
S3 MMIndexer;Media Manager-Indexer;c:\programme\Gemeinsame Dateien\Microsoft Shared\Media Manager\AIRSVCU.EXE [1997-07-28 137216]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;c:\windows\system32\drivers\NETFWDSL.SYS [2006-08-25 367104]
S3 wlags48d;Agere Wireless PCCard Service;c:\windows\system32\drivers\wlags48d.sys [2003-12-07 153088]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{137185d4-1835-11dc-8d61-000c76a31156}]
\Shell\AutoRun\command - J:\preinst.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95b0b99e-27e3-11dc-8d74-000c76a31156}]
\Shell\AutoRun\command - J:\preinst.exe
.
Inhalt des "geplante Tasks" Ordners
2009-02-08 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-08 21:57]
2009-02-10 c:\windows\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- c:\programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-ikowswa - c:\dokumente und einstellungen\HansMustermann\lokale einstellungen\anwendungsdaten\ikowswa.exe
HKLM-Run-KBD - c:\hp\KBD\KBD.EXE
HKLM-Run-NWEReboot - (no file)
SSODL-EIACEADA-{4E8279C4-6D5E-6E9C-622E-3F4767843B62} - c:\windows\System32\Ppkgcmgh.dll
SSODL-mtklefa-{E34E8A98-E63B-4FF2-E897-FC9054C7B69B} - c:\windows\System32\gbhi32.dll
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uDefault_Search_URL = hxxp://srch-de8.hpwis.com/
uInternet Settings,ProxyOverride = fritz.box
IE: &Windows Live Search - c:\programme\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
LSP: c:\programme\FRITZ!DSL\sarah.dll
TCP: {15678A20-FD69-48FA-959B-1BE36E191E3D} = 192.168.0.100,141.1.1.1
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-10 07:13:48
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\ØP*]
"DisplayName"="?\13?\13"
"DeviceDesc"="?\13?\13"
"ProviderName"=""
"MFG"="???\\"
"ReinstallString"="c:\\WINDOWS\\System32\\ReinstallBackups\\?\13\\DriverFiles\\.INF"
"DeviceInstanceIds"=multi:"0_9600_9700\\driver\\2kxp_inf\\cx_08530.inf\00"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(768)
c:\programme\FRITZ!DSL\sarah.dll
c:\programme\FRITZ!DSL\block.dll
c:\programme\FRITZ!DSL\avmcsock.dll
c:\programme\FRITZ!DSL\avmufc.dll
.
Zeit der Fertigstellung: 2009-02-10  7:15:33
ComboFix-quarantined-files.txt  2009-02-10 06:15:21
Vor Suchlauf: 10 Verzeichnis(se), 38.248.898.560 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 38,251,241,472 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn
182   --- E O F ---   2008-12-18 11:08:57
 
« Letzte Änderung: 10.02.09, 08:51:50 von damara »

Der Beitrag war zu lang:
Hier das Logfile von HijackThis
3.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:27:12, on 10.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\DitExp.exe
C:\Dokumente und Einstellungen\HansMustermann\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Dokumente und Einstellungen\HansMustermann\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Dokumente und Einstellungen\HansMustermann\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Dokumente und Einstellungen\HansMustermann\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Dokumente und Einstellungen\HansMustermann\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{15678A20-FD69-48FA-959B-1BE36E191E3D}: NameServer = 192.168.0.100,141.1.1.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 8213 bytes
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Bevor ich Combofix gestartet und Antivir deaktiviert habe,
gab mir Avira folgende Meldungen (2 mal):
In der Datei 'C:\32788R22FWJFW\psexec.cfexe'
wurde ein Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Ich hoffe,Ihr könnt mir sagen,dass der Rechner sauber ist!
 

« Letzte Änderung: 10.02.09, 08:57:49 von damara »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

c:\dokumente und einstellungen\ISPDir\HPBI.exe
c:\dokumente und einstellungen\ISPDir\commands.exe

öffne hijackthis, klicke scan hake an:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://srch-de8.hpwis.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe
PDF
Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
auch alle o16-einträge fixen, windows kann sich das was gebraucht wird neu hohlen
kommen wir nun zum autostart, den man auch ein wenig aufräumen sollte:
also wenn du magst anhaken, man kann das auch wieder zurückspielen durch die backup-funktion
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Dokumente und Einstellungen\HansMustermann\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
schließe alle internetfenster klicke fix cheked.
starte deinen pc neu.
Die antivir-meldung ist eine fehlerkennung.
Gehe auf start ausfüren kopiere rein:
Combofix /u
drücke enter
Öffne den ccleaner, gehe auf liste der instalierten programme, erstelle die textdatei und poste sie + Teile uns mit, wie dein pc läuft
 


Was soll ich mit damit machen?
c:\dokumente und einstellungen\ISPDir\HPBI.exe
c:\dokumente und einstellungen\ISPDir\commands.exe


Die anderen Dateien kann ich bei Hijack auswählen,allerdings sind das nur 8, dann einfach auf Fixed Check? oder vorher scannen?

Tut mir leid,dass ich nachfrage,aber ich will nichts falsch machen in meiner unwissenheit!

Combofix hab ich heute früh bereits gelöscht über start und ausführen!

Hier die CC_Datei

Ad-Aware
Adobe Acrobat 5.0
Adobe Flash Player 10 ActiveX
Adobe Reader 7.1.0 - Deutsch
ArcSoft Camera Suite 1.3
ASAPI Update
Avira AntiVir Personal - Free Antivirus
AVM FRITZ!Box Dokumentation
AVM FRITZ!DSL
Battlecraft Vietnam
Battlefield Mod Development Toolkit 2.0 Beta
CCleaner (remove only)
C-Media 3D Audio
DAEMON Tools
Dawn of War - Soulstorm
DivX Codec 3.2 release
Einfache Internetanmeldung
ElsterFormular 2005/2006
ElsterFormular 2006/2007
ElsterFormular 2007/2008
EPSON Copy Utility 3
EPSON Easy Photo Print
EPSON Scan
EPSON-Drucker-Software
ESDX3800 Benutzerhandbuch
Favorit
GameShadow
Grand Theft Auto San Andreas
Grand Theft Auto Vice City
GUILD WARS
Hemera Products
Heroes of Might and Magic® IV
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 2.0.2
HomeCinema
hp deskjet 3820 series (nur entfernen)
HP Photo and Imaging 1.0 - Scanjet 3500c Series
Kaspersky Online Scanner
KBD
LabelEditor
Lohnsteuer-Freibetrag 2008
lula3d screensaver
Malwarebytes' Anti-Malware
Medion Flash XL
Micro DVD Player
Microsoft .NET Framework (German) v1.0.3705
Microsoft .NET Framework 1.0 Hotfix (KB928367)
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft AutoRoute Express Europa 98
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Media Manager 1.5
Microsoft Office 2000 Premium
Microsoft Picture It! 99
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Windows-Journal-Viewer
Microsoft Works 7.0
MUSICMATCH(R) Jukebox
myMP3 PRO 5.0
Nero 7 Premium
NVIDIA Drivers
Pauls Schreibtisch-Übungen Screen Saver
Picasa 2
PIF DESIGNER
PowerCinema 2.0
PowerDVD
PowerProducer
PS2
QuickPar 0.9
QuickTime
RecordNow
Roxio PhotoSuite 5
Silent Hunter III
Sonic Update Manager
Spybot - Search & Destroy
Spybot - Search & Destroy 1.3
STEUER05
STEUER06
Tcl 8.0.5 for Windows
TeamSpeak 2 RC2
Trojancheck 6
UseNeXT
VideoLAN VLC media player 0.7.2
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 7
Windows Live Anmelde-Assistent
Windows Live Favorites für Windows Live Toolbar
Windows Live installer
Windows Live Messenger
Windows Live Toolbar
Windows Media Format 11 runtime
Windows Media Player 11
Windows XP Service Pack 3
X10 Hardware(TM)

Hier die Bitdefender-Logfile nach Löschen von Combofix heute früh:
Statistik
Zeit
 00:45:42
 Dateien
 73858
Ordner
 7257
Boot-Sektoren
 0
 Archive
 1602
 Komprimierte Dateien
 7800
 Ergebnisse
Erkannte Viren
 0
 Infizierte Dateien
 0
 verdächtige Dateien
 0
 Warnungen
 0
 Desinfiziert
 0
 Gelöscht
 0
 Engine-Info
 Virensignaturen
 2640216
 Engine info
 AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)
 Prüf-Plugins
 17
 Archiv-Plugins
 45
 Extraktions-Plugins
 7
 E-Mail-Plugins
 6
 System-Plugins
 4
 Prüfeinstellungen
Primäre Aktion
 Desinfizieren
Sekundäre Aktion
 Löschen
 Heuristik
 Ja
 Warnungen aktivieren
 Ja
 Zu prüfende Erweiterungen
 exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
 
Auszuschließende Erweiterungen
E-Mails prüfen
 Ja
 Archive prüfen
 Ja
 Komprimierte Dateien prüfen
 Ja
 Dateien prüfen
 Ja
 Boot-Sektoren prüfen
 Ja
 Geprüfte Dateien
  Status
 Keine Viren gefunden
 
Ist das jetzt alles sauber? Im Taskmanager sind jetzt nur noch 34 Prozesse. Bisher läuft alles,keine Fehlermeldungen und keine Störung!

« Letzte Änderung: 10.02.09, 12:58:51 von damara »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

nein, ist meine schuld, ich hätte es ja hinschreiben müssen ;-)
besuche:

http://www.virustotal.com/en/indexf.html
dort nacheinander die dateipfade abkopieren und abschicken klicken, wenn steht, datei bereits analysiert, klicke erneut analysieren.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

folgende programme werden wir deinstalieren und durch updates ersetzen:
Adobe Acrobat 5.0
Adobe Reader 7.1.0 - Deutsch
besuche
www.adobe.com
und hohle dir die version 9
Spybot - Search & Destroy
Spybot - Search & Destroy 1.3
www.safer-networking.org/de/download/index.html - 20k -
dort neueste version hohlen
auch mal vlc media player öffnen und updaten auch dort gibts sicherheitslücken!
wird das noch gebraucht? wenn nein deinstalieren:
ElsterFormular 2005/2006
ElsterFormular 2006/2007
ElsterFormular 2007/2008
deinstalieren:
Kaspersky Online Scanner
solche sachen sollten immer geupdatet werden.
ist sicher auch unnötig:
STEUER05
STEUER06
davon halte ich nicht viel:
Trojancheck 6
avira malwarebytes und spybot reichen völlig!
wichtige tipps zum abschluss
1. Besuche bitte im laufe des morgigen tages die windows update-seite (heute kommen abends wichtige sicherheitsupdates raus!)
spiele alle wichtigen updates auf.
Dies solltest du immer zeitnahe zu jeden 2 dienstag im monat machen.
2. update dein antivirenprogramm vor dem ersten gang ins internet, erhöt die sicherheit.
3. lege dir ein eingeschrenktes nutzerkonto an, dies macht es viren schwerer
arbeitsplatz,systemsteuerung,bnutzerkonto und ein neues eingeschrenktes konto anlegen (falls noch nicht vorhanden)
4. scanne ein mal pro woche mit antivir und malwarebytes (quick scan)
5. hohle dir den secunia software inspector und lasse ihn deinen pc ein mal pro monat prüfen, update wenn nötig:
www.pcwelt.de/downloads/datenschutz/sicherheit/88366/secunia_personal_software_inspector_psi/ - 50k -
p.s lass den ccleaner dein system bereinigen, danach rechtsklick auf arbeitsplatz,eigenschaften,systemwiderherstellung wähle auf allen laufwerken deaktiviren, warte 10 minuten und schalte sie wieder ein.
 

Habe jetzt alles überflüssige gelöscht. VLC-Player, Acrobat Reader 9 und Sybot neu installiert.
Allerdings kann ich den secunia software inspector nicht installieren.
Die Fehlermeldung lautet:

Bitte stellen Sie sicher,dass sie eine Verbindung zu https://.psi.secunia.com/ herstellen können und starten sie den PSI neu.
Eine Proxy-Verbindung ist für den PSI derzeit nicht verfügbar.Falls ihr System über einen Proxy auf das Internet zugreift, können sie die Anwendung gegenwärtig nicht verwenden.

Ist denn mein rechner jetzt so weit sauber?Ich traue mich seit 2 Wochen nicht mehr irgendwo meine Benutzerkonten (ebay, amazon etc.) zu öffnen wegen Trojanerfund.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

ist alles sauber. war navipromo der stiehlt keine kreditkarten infos. zu mindst war das noch nie so, du kannst aber vorsichtshalber deine bank dein paypal und was auch immer informieren, die wissen was zu tun ist, sind von deiner seite noch probleme?
secunia scheint ein problem zu haben (momentan) versuchs speter ncoh mal ;-)

Bisher keine Probleme,alles funktioniert.Hab noch den Mozilla installiert und bei Secunia werd ich es weiter probieren.

Nur mal interessehalber: lässt sich nachvollziehen durch welches Programm oder Anwendung der Navipromo reingekommen ist? Muss ich spezielle Programme oder Dateien besonders im Auge behalten? ???

Nochmal zu der Antivir-Meldung

In der Datei 'C:\32788R22FWJFW\psexec.cfexe'
wurde ein Virus oder unerwünschtes Programm 'APPL/PsExec.E' [program] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben
Soll ich die Dateien in der Quarantäne lassen,wiederherstellen oder löschen?

Vielen Dank für deine schnelle Hilfe :)!!! 

« Letzte Änderung: 10.02.09, 17:46:38 von damara »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Löschen.

Hallo,

hab jetzt ein neues Problem. Hab vorhin den SpyHunter laufen lassen.Der zeigte 252 Funde.
240 Funde Trojan. Zlob
12 Funde video.zlob

Bin jetzt voll panisch!

Beim SpyHunter kann ich die Dateien nicht löschen lassen ohne die Vollversion zu kaufen!

Hab schon wieder Malwarebytes, Windowsscan laufen lassen.Kein Fund.

Jetzt läuft gerade Kaspersky Online Scan. Anschließend muß ich noch Hijack laufen lassen.

Aber die haben ja vor spyhunter das alles auch nicht gefunden.
Hast Du nen Tip was ich noch machen kann?

Gruß


« Suchfunktion Habannero suche funktioniert nichtViren?? Windows XP »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!