[Axegrinder]

Nach Carbon kann, ich habe ein Virus.

Logfile von Trend Micro HijackThis V2.0.2
Scan saved at 16:49:26, am 14.02.2008
Plattform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot-Modus: Normal
Laufenden Prozesse:
C: \ WINDOWS \ System32 \ smss.exe
C: \ WINDOWS \ system32 \ winlogon.exe
C: \ WINDOWS \ system32 \ services.exe
C: \ WINDOWS \ system32 \ lsass.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ WINDOWS \ system32 \ spoolsv.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
C: \ Program Files \ Google \ Common \ Google Updater \ GoogleUpdaterService.exe
C: \ WINDOWS \ system32 \ nvsvc32.exe
C: \ WINDOWS \ system32 \ svchost.exe
C: \ Program Files \ Linksys Wireless-G USB Wireless Network Monitor \ WLService.exe
C: \ Program Files \ Linksys Wireless-G USB Wireless Network Monitor \ WUSB54GSv2.exe
C: \ WINDOWS \ Explorer.EXE
C: \ WINDOWS \ RTHDCPL.EXE
C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe
C: \ WINDOWS \ tsnp2std.exe
C: \ WINDOWS \ vsnp2std.exe
C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe
C: \ WINDOWS \ system32 \ RUNDLL32.EXE
C: \ Program Files \ MSN Messenger \ msnmsgr.exe
C: \ WINDOWS \ system32 \ ctfmon.exe
C: \ Program Files \ Google \ Google Updater \ GoogleUpdater.exe
C: \ Program Files \ MessengerDiscovery \ MessengerDiscovery Live.exe
C: \ WINDOWS \ System32 \ svchost.exe
C: \ Program Files \ MSN Messenger \ usnsvc.exe
C: \ Program Files \ Internet Explorer \ iexplore.exe
C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WLLoginProxy.exe
C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.google.co.uk/
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Settings, ProxyServer = webcache.virginmedia.com: 3128
O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Programme \ Gemeinsame Dateien \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll
O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O2 - BHO: Windows Live Sign-in Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - (AA58ED58-01DD-4d91-8333-CF10577473F7) - C: \ Program Files \ Google \ googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - (AF69DE43-7D58-4638-B6FA-CE66B5AD205D) - C: \ Program Files \ Google \ GoogleToolbarNotifier \ 2.1.1119.1736 \ s wg.dll
O3 - Toolbar: & Google - (2318C2B1-4965-11D4-9B18-009027A5CD4F) - C: \ Program Files \ Google \ googletoolbar1.dll
O4 - HKLM \ .. \ Run: [NvCplDaemon] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [nwiz] nwiz.exe / install
O4 - HKLM \ .. \ Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM \ .. \ Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ jusched.exe"
O4 - HKLM \ .. \ Run: [tsnp2std] C: \ WINDOWS \ tsnp2std.exe
O4 - HKLM \ .. \ Run: [snp2std] C: \ WINDOWS \ vsnp2std.exe
O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program Files \ QuickTime \ qttask.exe"-atboottime
O4 - HKLM \ .. \ Run: [NeroFilterCheck] C: \ WINDOWS \ system32 \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [AVG7_CC] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgcc.exe / STARTUP
O4 - HKLM \ .. \ Run: [NvMediaCenter] RUNDLL32.EXE C: \ WINDOWS \ system32 \ NvMcTray.dll, NvTaskbarInit
O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe"
O4 - HKCU \ .. \ Run: [MsnMsgr] "C: \ Program Files \ MSN Messenger \ msnmsgr.exe" / Hintergrund
O4 - HKCU \ .. \ Run: [ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe
O4 - HKCU \ .. \ Run: [swg] C: \ Program Files \ Google \ GoogleToolbarNotifier \ GoogleToolbarNo tifier.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [AVG7_Run] C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgw.exe / RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS \ S-1-5-18 \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'SYSTEM')
O4 - HKUS \. DEFAULT \ .. \ Run: [CTFMON.EXE] C: \ WINDOWS \ system32 \ CTFMON.EXE (User 'Default User ")
O4 - Global Startup: Google Updater.lnk = C: \ Program Files \ Google \ Google Updater \ GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C: \ Program Files \ Microsoft Office \ Office \ OSA9.EXE
O9 - Extra Knopf: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra button: PalTalk - (4EAFEF58-EEFA-4116-983D-03B49BCBFFFE) - C: \ Program Files \ Paltalk Messenger \ Paltalk.exe
O9 - Extra Knopf: (no name) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll
O9 - Extra Knopf: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe
O9 - Extra-Taste: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe
O16 - DPF: (0E5F0222-96B9-11D3-8997-00104BD12D94) (PCPitstop Utility) -- http://pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (A90A5822-F108-45AD-8482-9BC8B12DD539) (Crucial cpcScan) -- http://www.crucial.com/controls/cpcScanner.cab
O16 - DPF: (C3F79A2B-B9B4-4A66-B012-3EE46475B072) (MessengerStatsClient Class) -- http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: (DF780F87-FF2B-4DF8-92D0-73DB16A1543A) (PopCapLoader Object) -- http://www.shockwave.com/content/bej...loader_v10.cab
O16 - DPF: (E8F628B5-259A-4734-97EE-BA914D7BE941) (Driver Agent ActiveX Control) -- http://driveragent.com/files/driveragent.cab
O16 - DPF: (F5A7706B-B9C0-4C89-A715-7A0C6B05DD48) (Minesweeper Flags Class) -- http://messenger.zone.msn.com/binary...r.cab56986.cab
O17 - HKLM \ System \ CCS \ Services \ Tcpip \ .. \ (5DE0FB69-1D9B-48DC-83CC-D71DA02E6BAB): NameServer = 208.67.222.222,208.67.220.220
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgupsvc.exe
O23 - Service: AVG E-Mail-Scanner (AVGEMS) - GRISOFT, sro - C: \ PROGRA ~ 1 \ Grisoft \ AVG7 \ avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C: \ Program Files \ Google \ Common \ Google Updater \ GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe
O23 - Service: WUSB54GSv2SVC - GEMTEKS - C: \ Program Files \ Linksys Wireless-G USB Wireless Network Monitor \ WLService.exe
--
End of file - 7776 bytes

[evilfantasy]

Windows-Fehlern im Zusammenhang mit der winlogon.exe?

winlogon.exe ist ein Prozess, aus der Windows-Login-Manager. Sie übernimmt das An-und Abmelden Verfahren, die auf Ihrem System. Dieses Programm ist für den stabilen und sicheren Betrieb des Computers und sollte nicht gekündigt werden, wichtig.


Ich sehe nichts im Protokoll, aber Sie sollten SuperAntiSpyware für eine doppelte Prüfung durchführen.

[Axegrinder]

Nun SAS didnt erkennen etwas größere nur eine Menge von Tracking-Cookies.

[evilfantasy]

Du weißt, ich kann immer tiefer. winlogon.exe von Malware explioted so können wir als gut aussehen.

Bitte laden Sie sich von SUBs Combofix von einem der folgenden Links.
(Versuchen Sie, alle drei, wenn nötig)

• Link # 1
• Link # 2
• Link # 3

Wichtig! Combofix.exe IST gespeichert werden, um und lief aus dem Desktop.

• Schließen Sie alle geöffneten Web-Browser. (Firefox, Internet Explorer, etc.) vor Beginn der Combofix.
• Wichtig! Vorübergehend deaktivieren dein Antivirus, Script Blocking und alle Anti-Spyware Echtzeit-Schutz vor Durchführung eines Scan.
  • Klicken Sie auf diesen Link , um eine Liste der Programme, die Sicherheit sollten daher deaktiviert werden, und wie sie zu deaktivieren.
  • Wenn Sie nicht aufgelistet ist und Sie nicht wissen, wie diese zu deaktivieren, wenden Sie sich bitte an.
• Warnung: Combofix trennt Sie Ihren Computer aus dem Internet. Die Verbindung wird automatisch wiederhergestellt, bevor Combofix seinen Lauf.
• Doppelklicken Sie auf combofix.exe und folgen Sie den Anweisungen.
  • Von der Tastatur wählen Sie 1 und drücken Sie Geben Sie
• Wenn Sie fertig sind, es wird ein Protokoll für Sie.
• Post, dass sich in Ihrer nächsten Antwort.

Warnung: Nicht per Mausklick combofix-Fenster, während es in Betrieb ist. Das kann dazu führen, dass es zu Stall

• Wenn Combofix läuft in Schwierigkeiten und vorzeitig beendet, wird die Verbindung manuell restauriert werden kann, indem Sie den Computer neu starten.
• Wichtiger Hinweis: Denken Sie daran, wieder zu aktivieren Sie die Antivirus-und Anti-Spyware, bevor es wieder auf das Internet.

----------

Nächste Post
Combofix log

[Axegrinder]

Oops.

Habe ich etwas falsch

Geduld mit mir

[evilfantasy]

Sie installierten Combofix falsch. Es MUSS auf dem Desktop gespeichert werden.
Please do this.
Gehen Sie auf Start> Ausführen> Kopieren und Einfügen von Combofix / u in das Feld ein und klicken Sie auf OK.
Der Download Combofix direkt auf dem Desktop, um die Wiederherstellungskonsole zu installieren.

• Link # 1
• Link # 2
• Link # 3

Es ist nun darauf hin, dass Sie die Windows-Wiederherstellungskonsole. Die Windows-Recovery-Konsole können Sie starten in einer speziellen Recovery-Modus, der es uns erlaubt, die Sie für den Fall, dass Ihr Computer über ein Problem nach einem versuchten Entfernen von Malware.

Gehen Sie zur Microsoft-Website hier -> http://support.microsoft.com/kb/310994

Wählen Sie den Download, die für Ihr Betriebssystem



Laden Sie die Datei herunter und speichern Sie es wie es ursprünglich, neben ComboFix.exe.



Nun schließen Sie alle geöffneten Fenster und Programme.
Ziehen Sie das Setup-Paket auf ComboFix.exe und legen es dort ab.
Folgen Sie den Anweisungen, um ComboFix und, wenn Sie dazu aufgefordert werden, stimmen Sie den Endbenutzer-Lizenzvertrag für die Installation der Microsoft-Recovery-Konsole.
Wenn Sie fertig sind, ein Protokoll namens CF_RC.txt wird geöffnet.
Bitte senden Sie den Inhalt des Log-in Ihrer nächsten Antwort.

Dank Bleeping Computer für den Führer.


Also, ich halte es nicht für Malware.

[Axegrinder]

Diese?


WindowsXP-KB310994-SP2-Home-Startdiskette-DEU.exe
[boot loader]
Timeout = 2
default = multi (0) disk (0) rdisk (0) partition (1) \ WINDOW S
[operating systems]
multi (0) disk (0) rdisk (0) partition (1) \ WINDOWS = "Micro soft Windows XP Home Edition" / = noexecute Verbot / fastdetect
C: \ cmdcons \ BOOTSECT.DAT = "Microsoft Windows-Wiederherstellungskonsole" / cmdcons

[evilfantasy]

Thats it. Sie haben nun die Recovery-Konsole installiert.