Zu viele unnütze Prozesse bereinigen

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von d1n, 30. März 2010 .

Schlagworte:
  1. 30. März 2010
    Moin

    ich habe gerade im Taskmanager bemerkt, dass ich ca 10 Tasks die "Baby" heißen habe....die Prozesse dazu heißen immer unterschiedlich (z.b rf00093.exe u.sw.)...

    Ist das ein Virus? Ja oder? Wie bekomme ich den jetzt weg?
    Wenn ich die Tasks bzw Prozesse schließe, kommen sie nach ner Zeit wieder..
    Lasse gerade AntiVir durchlaufen, bis jetzt noch keinen Fund!


    Hier einmal der Hijackthis Logfile (gerade nach dem Systemstart durchgeführt!):

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:03:57, on 02.04.2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\ehome\ehtray.exe
    C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
    C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
    C:\Programme\Microsoft Office 2007\Office12\GrooveMonitor.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe
    C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Application Updater\ApplicationUpdater.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\DNA\btdna.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\r2of0a23409e.exe
    C:\WINDOWS\r2of0a212234209e.exe
    C:\WINDOWS\r2of0a212234209e.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    C:\Programme\Windows Media Player\WMPNSCFG.exe
    C:\Programme\Pando Networks\Media Booster\PMB.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Programme\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Search
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
    R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings.dll
    F2 - REG:system.ini: Shell=Explorer.exe C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost.exe,
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MI69DF~1\Office12\GRA8E1~1.DLL
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
    O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [EventBot] D:\Downloads und Downloadprogramme\R-R Downloads\Neuer Ordner\Neuer Ordner (7)\GW!!11elf\BOTS\Event\data\popup.exe
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe"
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [GameFace Messenger] C:\Programme\GameFace Messenger\GameFace.exe
    O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office 2007\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [Launch LgDeviceAgent] "C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings.exe
    O4 - HKLM\..\Run: [MSWUpdate] "C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [dll] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost.exe
    O4 - HKLM\..\Run: [rof0a23409e] C:\WINDOWS\rof0a23409e.exe
    O4 - HKLM\..\Run: [r2of0a23409e] C:\WINDOWS\r2of0a23409e.exe
    O4 - HKLM\..\Run: [r2of0a21223409e] C:\WINDOWS\r2of0a21223409e.exe
    O4 - HKLM\..\Run: [r2of0a212234209e] C:\WINDOWS\r2of0a212234209e.exe
    O4 - HKLM\..\Run: [rf009rqe] C:\WINDOWS\rf009rqe.exe
    O4 - HKLM\..\Run: [rf0092rqe] C:\WINDOWS\rf0092rqe.exe
    O4 - HKLM\..\Run: [rf0092re] C:\WINDOWS\rf0092re.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
    O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol 120\axcmd.exe" /automount
    O4 - HKCU\..\Run: [Gammacontrol] "D:\Downloads und Downloadprogramme\R-R Downloads\Neuer Ordner (7)\CounterStrike- Gammacontrol\Gammacontrol.exe"
    O4 - HKCU\..\Run: [MSWUpdate] "C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass.exe"
    O4 - HKCU\..\Run: [SVCHost.exe] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe
    O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" -"http://www.arcadestreet.com/play-table-tennis.htm"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MIF269~1\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI69DF~1\Office12\EXCEL.EXE/3000
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI69DF~1\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI69DF~1\Office12\ONBttnIE.dll
    O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIF269~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
    O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.acclaimdownloads.com/solidstateion.cab
    O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4C92A378-D9A7-4F28-8F7F-E3A8E74EAD78}: NameServer = 192.168.178.1
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI69DF~1\Office12\GR99D3~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\Games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: npkcmsvc - Unknown owner - D:\Games\MapleStoryGlobal\npkcmsvc.exe (file missing)
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    --
    End of file - 14685 bytes





    Bitte um Hilfe!

    BW ist klar!
     
  2. 30. März 2010
    AW: Task namens "Baby" <- Virus?

    hmm ich weiß nicht ob das ein virus ist aber vielleicht könnte dir malwarebytes helfen. mit google müsstest du das finden. also wenn es malware ist, aber ich bin auch kein wirklicher experte also bitte nicht zu flamen wenn ich was falsches sage.
     
  3. 30. März 2010
    Zuletzt von einem Moderator bearbeitet: 13. April 2017
    AW: Task namens "Baby" <- Virus?

    Hallo ChillOutMan,
    dein Post gehört eigentlich hier rein: -->Section<--

    Dort findest du auch genauere Angaben wie du zunächst vorgehen solltest.
    Siehe -->Hier<--

    MfG
    Freezer
     
  4. 31. März 2010
    AW: Task namens "Baby" <- Virus?

    AntiVir sagt GARNICHTS darüber aus, OB du einen Trojaner / Virus hast, AntiVir sagt dir nur, ob du einen BEKANNTEN Trojaner / Virus hast.

    -HiJackThis durch laufen lassen und log auswerten,
    -SpyBot durchlaufen lassen
    -netstat -a durchschauen
    -Systemwiederherstellung z.B. 1 Monat zurück - Wiederholen bis "Baby" weg ist.

    Das wären so meine Ideen.
    Könnte gut sein, dass es ein Trojaner, Virus oder auch ein BotNet ist.
     
  5. 31. März 2010
    AW: Task namens "Baby" <- Virus?

    bevor ich die sys.wiederherstellung nutzen würde -> Combofix drüber laufen lassen
     
  6. 31. März 2010
    AW: Task namens "Baby" <- Virus?

    Gerade bei einem Botnet liegt es doch Nahe, dass der Schädling verbreitet und bekannt ist und somit auch von einem beliebigen AV entdeckt wird.

    @ChillOutMan
    Im Grunde genommen hast du doch schon genug Anhaltspunkte, dass es sich um Malware handelt.
    Starte dein Windows mal im Abgesicherten Modus oder nimm eine BootCD.
    Anschließend schau mal nach, was sich alles so mit Windows startet und lösche die Dateien.
    Ein Rootkit oder sowas kann man wohl ausschließen, sonst wären die Prozesse auch versteckt.
    Wenn du deine Festplatten scannen lässt, lass keine Partition aus. Sonst hast du den Virus evtl in ein paar Wochen wieder wenn du irgendwas davon installiert.
     
  7. 31. März 2010
    AW: Task namens "Baby" <- Virus?


    Das stimmt so auch nicht zu 100%. Es gibt da noch etwas, dass sich Heuristik nennt.
    Und ich glaube kaum, dass er ein BotNet auf seinem Pc hat, sondern wenn überhaupt einen Client dafür. Davon abgesehen ist SpyBot der letzte scheiß.

    Ich würde es vor diesen ganzen Sachen einfach mal mit google versuchen:

    baby.exe | ThreatExpert statistics
    W32.NewApt - baby.exe

    Natürlich müssen diese Seiten nicht auf dein Problem zutreffen, deswegen kannst du die Datei am besten mal bei virustotal.com hochladen und dann nach dem Virus namen googlen.
     
  8. 2. April 2010
    AW: Task namens "Baby" <- Virus?

    hast du die sachen wirklich alle gefixt und neugestartet, nochmal checken lassen?

    C:\Programme\Application Updater\ApplicationUpdater.exe

    R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings.dll

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

    O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings.dll

    O4 - HKLM\..\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings.exe

    O4 - HKLM\..\Run: [dll] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost.exe

    O4 - HKLM\..\Run: [rf009rqe] C:\WINDOWS\rf009rqe.exe

    O4 - HKLM\..\Run: [rf0092rqe] C:\WINDOWS\rf0092rqe.exe

    O4 - HKLM\..\Run: [rf0092re] C:\WINDOWS\rf0092re.exe

    O4 - HKCU\..\Run: [SVCHost.exe] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost.exe

    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

    O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater.exe






    alt
    Spoiler
    fixe das:

    C:\Programme\Application Updater\ApplicationUpdater.exe was ist das? hast du das installiert? ansonsten fixen


    R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings.dll

    O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings.dll

    O4 - HKLM\..\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings.exe

    O4 - HKLM\..\Run: [dll] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost.exe

    O4 - HKLM\..\Run: [rf009rqe] C:\WINDOWS\rf009rqe.exe

    O4 - HKLM\..\Run: [rf0092rqe] C:\WINDOWS\rf0092rqe.exe

    O4 - HKLM\..\Run: [rf0092re] C:\WINDOWS\rf0092re.exe

    O4 - HKCU\..\Run: [SVCHost.exe] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost.exe

    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) datei fehlt. kannst einfach fixen

    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) datei fehlt. kannst einfach fixen

    O23 - Service: Application Updater - Spigot, Inc. - C:\Programme\Application Updater\ApplicationUpdater.exe was ist das? hast du das installiert? ansonsten fixen

    danach pc neustarten und nochmal einen log machen.
     
  9. 2. April 2010
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Task namens "Baby" <- Virus?

    mit HJT bekommste das wohl nicht weg.

    versuche es mal mit Malwarebytes und Combofix und poste beide Logs hier als Antwort.

    Malewarbytes/Combofix Links

    Gruß R0cka
     
  10. 5. April 2010
    AW: Task namens "Baby" <- Virus?

    soo, sry...war einige Tage nicht am PC....hier ein neuer Logfile!


    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost.exe
    C:\WINDOWS\Explorer.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\ehome\ehtray.exe
    C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
    C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Microsoft Office 2007\Office12\GrooveMonitor.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe
    C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\DNA\btdna.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\eHome\ehmsas.exe
    C:\Programme\Windows Media Player\WMPNSCFG.exe
    C:\Programme\Pando Networks\Media Booster\PMB.exe
    C:\Programme\HijackThis\HijackThis.exe
    C:\Programme\Avira\AntiVir Desktop\update.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Search
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
    R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings.dll
    F2 - REG:system.ini: Shell=Explorer.exe C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost.exe,
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MI69DF~1\Office12\GRA8E1~1.DLL
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Programme\Search Settings\SearchSettings.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
    O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [EventBot] D:\Downloads und Downloadprogramme\R-R Downloads\Neuer Ordner\Neuer Ordner (7)\GW!!11elf\BOTS\Event\data\popup.exe
    O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 4.0\apdproxy.exe"
    O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
    O4 - HKLM\..\Run: [GameFace Messenger] C:\Programme\GameFace Messenger\GameFace.exe
    O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office 2007\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [Launch LgDeviceAgent] "C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [SearchSettings] C:\Programme\Search Settings\SearchSettings.exe
    O4 - HKLM\..\Run: [MSWUpdate] "C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [dll] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost.exe
    O4 - HKLM\..\Run: [rof0a23409e] C:\WINDOWS\rof0a23409e.exe
    O4 - HKLM\..\Run: [r2of0a23409e] C:\WINDOWS\r2of0a23409e.exe
    O4 - HKLM\..\Run: [r2of0a21223409e] C:\WINDOWS\r2of0a21223409e.exe
    O4 - HKLM\..\Run: [r2of0a212234209e] C:\WINDOWS\r2of0a212234209e.exe
    O4 - HKLM\..\Run: [rf009rqe] C:\WINDOWS\rf009rqe.exe
    O4 - HKLM\..\Run: [rf0092rqe] C:\WINDOWS\rf0092rqe.exe
    O4 - HKLM\..\Run: [rf0092re] C:\WINDOWS\rf0092re.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
    O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol 120\axcmd.exe" /automount
    O4 - HKCU\..\Run: [Gammacontrol] "D:\Downloads und Downloadprogramme\R-R Downloads\Neuer Ordner (7)\CounterStrike- Gammacontrol\Gammacontrol.exe"
    O4 - HKCU\..\Run: [MSWUpdate] "C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass.exe"
    O4 - HKCU\..\Run: [SVCHost.exe] C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe
    O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" -"http://www.arcadestreet.com/play-table-tennis.htm"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MIF269~1\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI69DF~1\Office12\EXCEL.EXE/3000
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI69DF~1\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI69DF~1\Office12\ONBttnIE.dll
    O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIF269~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
    O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.acclaimdownloads.com/solidstateion.cab
    O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4C92A378-D9A7-4F28-8F7F-E3A8E74EAD78}: NameServer = 192.168.178.1
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI69DF~1\Office12\GR99D3~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Application Updater - Unknown owner - C:\Programme\Application Updater\ApplicationUpdater.exe (file missing)
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\Games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: npkcmsvc - Unknown owner - D:\Games\MapleStoryGlobal\npkcmsvc.exe (file missing)
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    Jetzt habe ich eine Frage...kann mir jmd vielleicht mal die Prozesse, die ich nicht brauche, also die von iwelchen Programmen etc, markieren und sagen wie ich das hinbekomme, dass die bei Systemstart nicht mehr geöffnet werden?

    MfG
     
  11. 5. April 2010
    AW: Task namens "Baby" <- Virus?

    da is schon wieder sone menge drin. mach mal das was r0cka sagt.
     
  12. 5. April 2010
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Task namens "Baby" <- Virus?

    gehe bitte oberen Link nach. Du hast auf jeden Fall 2 Trojanerarten auf deinem PC. U.a. eine SVCHost.exe

    Wenn du die mit meinen Links nicht wegbekommst (wenn hier Leute den Log durchgeguckt haben) Solltest du dein System neu aufsetzen.

    Eine andere Frage? Nutzt du Bittorrent noch? Wenn nein: Systemsteuerung –> Software -> DNA deinstallieren.

    Ausserdem bitte immer den kompletten HJT Log kopieren

    Frohe Ostern trotzdem
    R0cka
     
  13. 5. April 2010
    AW: Task namens "Baby" <- Virus?

    svchost.exe ist kein trojaner/virus, kann aber infiziert werden.

    O4 - HKLM\..\Run: [rof0a23409e] C:\WINDOWS\rof0a23409e.exe
    O4 - HKLM\..\Run: [r2of0a23409e] C:\WINDOWS\r2of0a23409e.exe
    O4 - HKLM\..\Run: [r2of0a21223409e] C:\WINDOWS\r2of0a21223409e.exe
    O4 - HKLM\..\Run: [r2of0a212234209e] C:\WINDOWS\r2of0a212234209e.exe
    O4 - HKLM\..\Run: [rf009rqe] C:\WINDOWS\rf009rqe.exe
    O4 - HKLM\..\Run: [rf0092rqe] C:\WINDOWS\rf0092rqe.exe
    O4 - HKLM\..\Run: [rf0092re] C:\WINDOWS\rf0092re.exe

    die exe'n sehen aber verdächtiger aus

    am besten mal mit ccleaner drüber gehen
    und malwarebytes anti-malware drüber laufen lassen
     
  14. 5. April 2010
    AW: Task namens "Baby" <- Virus?

    Jede svchost.exe die sich außerhalb von system32 bzw. SYSWOW64 befindet ist ganz sicher schädlich bzw. nicht das was sie vorgibt zu sein:

    C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost.exe
    C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost.exe

    Das sind schöne Beispiele dafür.
     
  15. 5. April 2010
    AW: Task namens "Baby" <- Virus?

    ich würde vorschlagen Platte formatieren und Windows neu drauf ansonsten kann es sein das noch irgendwo rückstände vom Trojaner sind
     
  16. 5. April 2010
    AW: Task namens "Baby" <- Virus?

    soo ich lasse gerade anti maleware durchlaufen...werde wenn es fertig ist die ergebnisse posten! combofix ging iwie nicht...also er startet meinen pc neu und dann passiert nichts weiter....

    soo..hier der log:

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Datenbank Version: 3957

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    05.04.2010 21:39:50
    mbam-log-2010-04-05 (21-39-50).txt

    Art des Suchlaufs: Quick-Scan
    Durchsuchte Objekte: 147733
    Laufzeit: 12 Minute(n), 42 Sekunde(n)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 3
    Infizierte Registrierungswerte: 4
    Infizierte Dateiobjekte der Registrierung: 4
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 7

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> Quarantined and deleted successfully.

    Infizierte Registrierungswerte:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mswupdate (Trojan.Delf) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mswupdate (Trojan.Delf) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dll (Trojan.Agent) -> Quarantined and deleted successfully.

    Infizierte Dateiobjekte der Registrierung:
    HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Trojan.Delf) -> Data: c:\dokumente und einstellungen\chris\anwendungsdaten\lsass.exe -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    C:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\1595.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\8431.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\9194.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\777.exe (Trojan.Buzus) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\lsass.exe (Trojan.Delf) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\dll\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.


    und wie bekomm ich die jetzt weg dann? lasse gerade noch den CCcleaner laufen!
     
  17. 5. April 2010
    AW: Task namens "Baby" <- Virus?

    So voll wie das Ding mit zu sein scheint, würde ich den Rechner einfach einmal neu aufsetzen. Tut den Windows Dinger eig. immer gut.
     
  18. 5. April 2010
    AW: Task namens "Baby" <- Virus?

    das problem ist, dass ich bald sowieso nen neuen holen will und jetzt eig keine lust habe alles nochmal neu zu machen für 4 monate oder so

    aber das heißt nicht, dass ich den dann so lassen will ich will schon, dass das eig wieder sauber ist alles....

    aber es muss doch möglichkeiten geben um den unnützen lässtigen scheiß runter zu bekommen oder nicht?
    der ist ja auch iwie drauf gekommen^^

    //edit:
    aja....die tasks "baby" sind nicht mehr im taskmanager zu sehen..
     
  19. 6. April 2010
    AW: Task namens "Baby" <- Virus?

    Naja wenn du dein System wirklich sauber bekommen willst musst du dich davorsetzen und einfach manuell noch alles durchforsten per Hand, nicht einfach irgendwelche Programme durchlaufen lassen. Brauchst halt nur Geduld, Zeit und bisschen Fachwissen.

    Aber wie man sieht:

    hast du diese wohl nicht oder einfach nur keine Geduld, also geh formatieren, ist für dich die einfachste und wohl schnellste Lösung.

    Und dann nicht mehr auf den tollen unseriösen Seiten die mit ****** locken herumsurfen und nicht jeden Scheiß der mit .exe endet herunterladen und vielleicht einen Scriptblocker für den Browser benutzen.
     
  20. 6. April 2010
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: PC Lahm etc. => Zu viele unnütze Prozesse (Viren...)

    ich nochmal:

    gehe wie folgt durch!
    - versteckte Dateien anzeigen
    versteckt-697.png
    {img-src: //www.tippscout.de/images/versteckt-697.png}

    - C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Microsoft\SVCHost.exe hier hochladen und auswerten lassen und Ergebnis posten
    - Verlauf, Cache und Cookies löschen
    - Vollständigen Suchlauf durchführen mit Malwarebytes
    - Malewarbytes Log posten
    - neuen HJT Log posten
     
  21. 6. April 2010
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: PC Lahm etc. => Zu viele unnütze Prozesse (Viren...)

    1. ich lasse gerade malewarebytes mit vollständiger suche durchlaufen...gestern hatte ich nur keine zeit => quickscan
    2. auf "unseriöse" seiten treibe ich mich eig nicht rum...ich weiss schon, was ich mache bzw auf welchen seiten ich bin und was ich für datein runterlade

    ok werde ich mal machen
    //edit:
    mhm...hab malewarebytes jetzt komplett durchlaufen lassen und noch 2 dateien gefunden...aber die exe die du meintest gibt es nicht in dem verzeichnis (auch wenn ich versteckte dateien anzeigen lasse).

    hab mal pc neugestartet und nochmal hijackthis scannen lassen:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:20:16, on 06.04.2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Programme\ICQ7.0\ICQ.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\HijackThis\HijackThis.exe

    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MIF269~1\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI69DF~1\Office12\EXCEL.EXE/3000
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI69DF~1\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI69DF~1\Office12\ONBttnIE.dll
    O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)
    O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll (file missing)
    O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Programme\ICQ7.0\ICQ.exe
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIF269~1\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
    O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.acclaimdownloads.com/solidstateion.cab
    O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4C92A378-D9A7-4F28-8F7F-E3A8E74EAD78}: NameServer = 192.168.178.1
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI69DF~1\Office12\GR99D3~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Application Updater - Unknown owner - C:\Programme\Application Updater\ApplicationUpdater.exe (file missing)
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\Games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: npkcmsvc - Unknown owner - D:\Games\MapleStoryGlobal\npkcmsvc.exe (file missing)
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    --
    End of file - 7431 bytes
     
  22. 7. April 2010
    AW: PC Lahm etc. => Zu viele unnütze Prozesse (Viren...)

    der neue Log sieht jetzt wesentlich besser aus. Mit Malwarebytes hast du die schädlichen Prozesse alle wegbekommen

    nun noch folgendes fixen:

    Wenn du die folgende Datei nicht benötigst, solltest du sie per Hand löschen:

    O23 - Service: Application Updater - Unknown owner - C:\Programme\Application Updater\ApplicationUpdater.exe (file missing)

    Mach am WE noch mal einen Malwarescan und gucke selbst, ob dort wieder Sachen aufgetaucht sind.


    Gruß

    R0cka
     
  23. 7. April 2010
    AW: Zu viele unnütze Prozesse bereinigen

    soo hier nochmal ein logfile von gerade:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:00:19, on 07.04.2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    C:\WINDOWS\eHome\ehRecvr.exe
    C:\WINDOWS\eHome\ehSched.exe
    C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\Programme\ICQ7.0\ICQ.exe
    C:\Programme\DivX\DivX Update\DivXUpdate.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\HijackThis\HijackThis.exe

    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
    O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\WINDOWS\system32\rundll32.exe" "C:\Programme\NOS\bin\getPlus_Helper.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1noarp
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
    O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - http://cdn1.ac claimdownloads.com/solidstateion.cab
    O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http: //www.systemreq uirementslab.com/sysreqlab.cab
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http:// icq.oberon-med ia.com/Gameshell/GameHost/1.0/OberonGameHost.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http: //fpdownload2.m acromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4C92A378-D9A7-4F28-8F7F-E3A8E74EAD78}: NameServer = 192.168.178.1
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI69DF~1\Office12\GR99D3~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - D:\Games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: npkcmsvc - Unknown owner - D:\Games\MapleStoryGlobal\npkcmsvc.exe (file missing)
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

    --
    End of file - 5497 bytes

    bitte eben das was ich noch fixen KANN/SOLLTE markieren bzw zitieren und mir sagen, WIE ich das am besten fixen kann
    aber danke bis jetzt schonmal! einige haben echt super geholfeN!
     
  24. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.