Hallo,
ich hab tausned Probleme, alles hat damit angefangen:
Ich habe von einer ^^ "seriösen" ^^ Seite ein paar Tools für Teamspeak runtergeladen, und seit kurzer Zeit kommtimmer beim Hochfahren von Windows folgende Meldung: "Datenausführungsverhinderung: flashy.exe"
Ich hab mir nix dabei gedacht und das Programm zugelassen.
Seit neuestem folgende Probleme:
1. Taskmanager gesperrt
2. Keine Adminrechte mehr
3. Ich kann kein regedit mehr ausführen
Dann dachte ich mir, das liegt an diesem Flahsy und gucke mal, was Google so sagt:
Flahsy --> Maleware
Toll ich lass grad mein Avria durchlaufen aber bis der meine 300gb daten durchgeackert hat, dauerts wohl noch länger!
Kann mir jemand helfen?
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
flashy.exe
6 Beiträge • Seite 1 von 1
von BlueScreen-Bertrand am 29.12.2007, 12:35
Da hilft nur eins:
Da du keine Administratorenrechte mehr hast, musst du die Bereinigung im abgesicherten Modus als "Administrator" durchführen.
Starte Windows im abgesicherten Modus mit Netzwerktreibern neu.
Lade HijackThis hier ("HijackThis Executable") herunter.
Ermittlung und Löschung gefährlicher Dateien
Lade File Eraser herunter und installiere das Programm. Lade dir dann die aktuelle Löschliste herunter und verwende File Eraser gemäß Anleitung.
Rufe die Website kaspersky.com/kos/german/...kavwebscan... im Internet Explorer auf; beachte die Hinweise.
Führe eine komplette Überprüfung durch und stelle den Bericht in CODE-Tags ein.
Berichte erstellen
Erstelle mit HijackThis einen neuen Bericht und stelle ihn in CODE-Tags in diesem Thread ein, genau so auch den Bericht vom Kaspersky Online Scan.
Wichtig: Solange die Bereinigung noch nicht abgeschlossen ist, darfst du keine neuen Programme mehr installieren oder dich als ein anderer Benutzer anmelden. Malware hält sich oft am Leben, indem sie sich selbst wiederherstellt, wenn man eine Komponente von ihr startet.
Da du keine Administratorenrechte mehr hast, musst du die Bereinigung im abgesicherten Modus als "Administrator" durchführen.
Starte Windows im abgesicherten Modus mit Netzwerktreibern neu.
Lade HijackThis hier ("HijackThis Executable") herunter.
Ermittlung und Löschung gefährlicher Dateien
Lade File Eraser herunter und installiere das Programm. Lade dir dann die aktuelle Löschliste herunter und verwende File Eraser gemäß Anleitung.
Rufe die Website kaspersky.com/kos/german/...kavwebscan... im Internet Explorer auf; beachte die Hinweise.
Führe eine komplette Überprüfung durch und stelle den Bericht in CODE-Tags ein.
Berichte erstellen
Erstelle mit HijackThis einen neuen Bericht und stelle ihn in CODE-Tags in diesem Thread ein, genau so auch den Bericht vom Kaspersky Online Scan.
- Code: Alles auswählen
Der Text in Code-Tags sieht später so aus und wird zwischen die Tags [code]und[/code] geschrieben.
Wichtig: Solange die Bereinigung noch nicht abgeschlossen ist, darfst du keine neuen Programme mehr installieren oder dich als ein anderer Benutzer anmelden. Malware hält sich oft am Leben, indem sie sich selbst wiederherstellt, wenn man eine Komponente von ihr startet.
- BlueScreen-Bertrand
- Moderator
- Beiträge: 11254
- Registriert: 28.11.2005, 19:01
- Wohnort: Waldshut-Tiengen
von MiGael am 29.12.2007, 15:07
Bin richtig erstaunt durch en Virsu, weil die Viren, die ich bis jetzt hatt nicht so nervig sind!
Wenn ich über den Abgesicherten Modus reingehe, hat das Administartor Konto plötzlich ein Passwort un wenn ich versuche es einzugeben hängt der PC sich nach ein paar Versuchen auf!
Ich hab mal nen Suchlauf mit AntiVir gemacht.
Folgendes Ergebnis:
Ich hab mal Spaßeshalber nach "Flashy.exe" per Windowssuuche gesucht
Hab einen komsicherweise "Ausführbaren" Ordner gefunden. und noch sone Datei, beides hat irgendwas mit Flahsy am Hut gehabt. Hab beides gelöscht!
Achja, und das mit dem Abgesichertem Modus verauche ich nacher nochmal!
EDIT!!!!!!! Was mir komisch vorkam: Im AntiVir kommt ne Warnung von der Datei "C:\WINDOWS\system32\drivers\sptd.sys" (Steht im Bericht oben). Der PC fragt mich beim Abgesichertem Modus immer vorher, ob er die Dateiladen soll... (ESC drücken um das Laden der Datei "C:\WINDOWS\system32\drivers\sptd.sys" zu verhindern, ODER SO ÄHNLICH)
Bei meinem Benutzernamen bei den Benutzerkonten steht, dass ich Computer-Admin bin, aber für das Admin-Konto hab ich wohl keine Rechte!
Wenn ich über den Abgesicherten Modus reingehe, hat das Administartor Konto plötzlich ein Passwort un wenn ich versuche es einzugeben hängt der PC sich nach ein paar Versuchen auf!
Ich hab mal nen Suchlauf mit AntiVir gemacht.
Folgendes Ergebnis:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 28. Dezember 2007 20:02
Es wird nach 994689 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: MICHAEL
Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 07.09.2007 17:53:06
AVSCAN.DLL : 7.0.6.0 57384 Bytes 07.09.2007 17:53:06
LUKE.DLL : 7.0.5.3 147496 Bytes 07.09.2007 17:53:07
LUKERES.DLL : 7.0.6.0 10792 Bytes 07.09.2007 17:53:07
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 19:12:46
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 07:29:34
ANTIVIR2.VDF : 7.0.1.170 311296 Bytes 28.12.2007 19:01:46
ANTIVIR3.VDF : 7.0.1.173 4608 Bytes 28.12.2007 19:01:46
AVEWIN32.DLL : 7.6.0.46 3084800 Bytes 20.12.2007 19:26:46
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.2 25640 Bytes 07.09.2007 17:53:06
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.6.0.2 360488 Bytes 20.12.2007 19:26:46
AVREG.DLL : 7.0.1.6 30760 Bytes 07.09.2007 17:53:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 07.09.2007 17:53:03
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 07.09.2007 17:53:03
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.09.2007 17:52:57
RCTEXT.DLL : 7.0.62.0 90152 Bytes 07.09.2007 17:52:57
SQLITE3.DLL : 3.3.17.1 339968 Bytes 07.09.2007 17:53:08
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Freitag, 28. Dezember 2007 20:02
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'YzShadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UberIcon Manager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RocketDock.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DWLGTI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DynDNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fumoei.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'AOSD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ABOARD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Janad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brss01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'brsvc01a.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StyleXPService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '53' Prozesse mit '53' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '36' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <HDD>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Ende des Suchlaufs: Freitag, 28. Dezember 2007 22:15
Benötigte Zeit: 2:13:39 min
Der Suchlauf wurde vollständig durchgeführt.
14111 Verzeichnisse wurden überprüft
699428 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
699428 Dateien ohne Befall
11579 Archive wurden durchsucht
3 Warnungen
97 Hinweise
Ich hab mal Spaßeshalber nach "Flashy.exe" per Windowssuuche gesucht
Hab einen komsicherweise "Ausführbaren" Ordner gefunden. und noch sone Datei, beides hat irgendwas mit Flahsy am Hut gehabt. Hab beides gelöscht!
Achja, und das mit dem Abgesichertem Modus verauche ich nacher nochmal!
EDIT!!!!!!! Was mir komisch vorkam: Im AntiVir kommt ne Warnung von der Datei "C:\WINDOWS\system32\drivers\sptd.sys" (Steht im Bericht oben). Der PC fragt mich beim Abgesichertem Modus immer vorher, ob er die Dateiladen soll... (ESC drücken um das Laden der Datei "C:\WINDOWS\system32\drivers\sptd.sys" zu verhindern, ODER SO ÄHNLICH)
Bei meinem Benutzernamen bei den Benutzerkonten steht, dass ich Computer-Admin bin, aber für das Admin-Konto hab ich wohl keine Rechte!
- MiGael
- Beiträge: 492
- Registriert: 09.06.2006, 16:31
- Wohnort: Metropole Karlsbad
von MiGael am 29.12.2007, 15:47
Okay also hier mal hijack this...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:45:05, on 29.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Jana2\Janad.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\apps\ABoard\ABoard.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\apps\ABoard\AOSD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQLite2\ICQLite.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\APPS\skype\phone\Skype.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Free Download Manager\FUM\fumoei.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
c:\apps\Powercinema\Kernel\TV\CLSched.exe
C:\Programme\DynDNS Updater\DynDNS.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\APPS\skype\Plugin Manager\skypePM.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Michael\Desktop\HiJackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R3 - URLSearchHook: deutschersturmtrupp-tools Toolbar - {2f170114-5a3c-4951-aa52-f6b78f6535d6} - C:\Programme\deutschersturmtrupp-tools\tbdeu0.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: deutschersturmtrupp-tools Toolbar - {2f170114-5a3c-4951-aa52-f6b78f6535d6} - C:\Programme\deutschersturmtrupp-tools\tbdeu0.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: deutschersturmtrupp-tools Toolbar - {2f170114-5a3c-4951-aa52-f6b78f6535d6} - C:\Programme\deutschersturmtrupp-tools\tbdeu0.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2007_e-version\TrayServer.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AAWTray] C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite2\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Flashy Bot] C:\WINDOWS\system32\Flashy.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\APPS\skype\phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Free Uploader Oe Integration] C:\Programme\Free Download Manager\FUM\fumoei.exe
O4 - HKCU\..\Run: [DynDNS Updater] "C:\Programme\DynDNS Updater\DynDNS.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite2\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite2\ICQLite.exe
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedow ... in9USA.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C6FAE95-58BA-4204-82D1-5D31F06B1E5F}: NameServer = 192.168.2.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\apps\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\apps\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Jana Server 2 (Janad) - Thomas Hauck, Privat - C:\Programme\Jana2\Janad.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 13382 bytes
- MiGael
- Beiträge: 492
- Registriert: 09.06.2006, 16:31
- Wohnort: Metropole Karlsbad
von BlueScreen-Bertrand am 29.12.2007, 16:38
Das Administratorenkonto darf ALLES. Wenn du nicht draufkommst, liegt es am falschen Kennwort. Der Computer hängt sich nach mehrnaliger Eingabe auch nicht auf, sondern wird gesperrt, es könnte ja sonstawas pssieren. Vielleicht wurde gar kein Kennwort festgelegt und du musst nur die Eingabetaste drücken, um dich anzumelden.
Fixe mit HijackThis:
Ist die Datei C:\WINDOWS\system32\Flashy.exe noch da? Egal, welches Symbol "Flashy" hat, ob es ein Ordnersymbol oder sonsteins ist, weg damit.
Wenn dein benutzerkonto selbst Administratorenrechte hat (zumindest, wenn das in der Systemsteuerung so steht), solltest du noch einmal im abges. Modus starten und dich damit anmelden.
Führe dann mit deinem Antivirenprogramm eine komplette Überprüfung der Festplatte durch.
Was auch zu empfehlen ist: http://www.ewido.net/de/download/
(Zuerst runterladen, dann abgesichert starten und dann ausführen)
Während beider Scans sollten keine zusätzlichen Programme laufen.
Fixe mit HijackThis:
- Code: Alles auswählen
R3 - URLSearchHook: deutschersturmtrupp-tools Toolbar - {2f170114-5a3c-4951-aa52-f6b78f6535d6} - C:\Programme\deutschersturmtrupp-tools\tbdeu0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: deutschersturmtrupp-tools Toolbar - {2f170114-5a3c-4951-aa52-f6b78f6535d6} - C:\Programme\deutschersturmtrupp-tools\tbdeu0.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Flashy Bot] C:\WINDOWS\system32\Flashy.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
Ist die Datei C:\WINDOWS\system32\Flashy.exe noch da? Egal, welches Symbol "Flashy" hat, ob es ein Ordnersymbol oder sonsteins ist, weg damit.
Wenn dein benutzerkonto selbst Administratorenrechte hat (zumindest, wenn das in der Systemsteuerung so steht), solltest du noch einmal im abges. Modus starten und dich damit anmelden.
Führe dann mit deinem Antivirenprogramm eine komplette Überprüfung der Festplatte durch.
Was auch zu empfehlen ist: http://www.ewido.net/de/download/
(Zuerst runterladen, dann abgesichert starten und dann ausführen)
Während beider Scans sollten keine zusätzlichen Programme laufen.
- BlueScreen-Bertrand
- Moderator
- Beiträge: 11254
- Registriert: 28.11.2005, 19:01
- Wohnort: Waldshut-Tiengen
von MiGael am 29.12.2007, 16:51
Nein Flashy.exe ist nichtmehr da... hab das gelöscht... per windows suchfunktion
- MiGael
- Beiträge: 492
- Registriert: 09.06.2006, 16:31
- Wohnort: Metropole Karlsbad
6 Beiträge • Seite 1 von 1
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste