Thema: Hab ich nen Virus?

Hallo,
nachdem ich ein paar Programme (u.a. Google Desktop) gedownloadet habe, öffnen sich z.B. beim Spielen von Spielen mehmalsI-net Explorer, Google Chrome oder Mozilla Firefox.Da die fensterimmer 100 mal aufgehen, stürtzt mein PC dauernt ab und es nervt mich total, dass ich nicht in ruhe ma spielen oder surfen kann.

PS:Habe Norton Antivirus 2010, hat keinen Virus gefunden.

MfG:
Channel

Eventuell hast Du einen Trojaner mit installiert.
Untersuche das System mal mit:
Die Seite von Spybot-S&D!

Als Administrator ausführen.

Ist dein Norton aktuell, ich meine Viren-Signaturen? Denn es reicht nicht Antiviren-Programm zu haben, man muss es ständig aktualisieren, eigentlich muss es automatisch gehen, bei meiner GDATA kriege ich jeden 2. Tag neue Viren-Signaturen.

Wärst du infiziert, wäre das ziemlich untypisch für einen Virus.

Ziel von einem Virus ist es ja, sich in deinem PC einzunisten und möglichst ohne das du es merkst Daten zu klauen.

Untypisch ist es nicht, den nicht umsonst werden Malware in unterschiedliche Kategorien unterteilt .

Ist es beim jedem Spiel so?
Was ist der Fensterinhalt (Werbung)?

Mache mal ein Hijackthis-Scan, um einen Virus ausschließen oder bestätigen zu können .:
Lade dir Hijackthis runter (oben rechts unter "direktdownload")
Entpacke es in einem eigenen Ordner (z.B.: C:\Programme\Hijackthis)
Nenne die Hijackthis.exe in abc.exe um.
Führe die Datei aus und klicke auf "Do a system scan and save a logfile"
Nach einigen Sekunden öffnet sich ein Editorfenster, dessen kompletten
Inhalt kopierst du dann hier in diesen Thread als Code-Tags rein.



mfg
bLacK_dRaSanG

Der Code:?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:15:27, on 19.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chro me.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chro me.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chro me.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chro me.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chro me.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Programme\Hijacks\abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\17.0.0.136\IPSBHO.DLL
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ebsypgee] "c:\dokumente und einstellungen\000\lokale einstellungen\anwendungsdaten\ebsypgee.exe" ebsypgee
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe " /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...scbase6796.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1223120122625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe (file missing)

--
End of file - 5296 bytes

Deinstallier mal die Ask-Toolbar, vielleicht bringt das etwas.

wie geht das?

arbeitsplatz->software->ask toolbar->deinstallieren, ma guckn, sehe das ja erst anch ein paar tagen ob die fehler wieda kommen, manche öfnnen sihc fenster, manche mal auch nicht

---------------------------------------------------------------------------------------------
Neues Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:31:35, on 19.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chro me.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chro me.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Hijacks\abc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\17.0.0.136\IPSBHO.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ebsypgee] "c:\dokumente und einstellungen\000\lokale einstellungen\anwendungsdaten\ebsypgee.exe" ebsypgee
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe " /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...scbase6796.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1223120122625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe (file missing)

--
End of file - 4762 bytes

Eine Datei ist mir unbekannt, ich würde sie gerne mal checken lassen:

Ändere folgende Einstellungen (kann bei neueren Betriebssystem als Windows XP abweichen):

Code:

Start --> Systemsteurung (klassische Ansicht) --> Ordneroption --> Reiter "Ansicht"

prüfe ob folgende Einträge markiert oder gegebenfalls nicht markiert sind:

markierte Einträge:

Inhalte von Systemordnern anzeigen
Alle Dateien und Ordnern anzeigen


nicht markierte Einträge:

Erweiterung bei bekannten Dateitypen ausblenden
Geschützte Systemdateien ausblenden (empfohlen)

Suche die folgende Datei und lade sie auf VirusTotal - Free Online Virus and Malware Scan hoch:

Code:

c:\dokumente und einstellungen\000\lokale einstellungen\anwendungsdaten\ebsypgee.exe

Das Ergebnis der Auswertung (kann ein paar Minuten dauern) poste dann bitte hier rein .

PS: Der Code-Tag sieht folgender Maßen aus: [CODE]blablabla[/CODE]

mfg
bLacK_dRaSanG

häää check ich net, was soll ihc jtzt machen?
kenne mich net sooooooooooooo gut mit pc's aus, deswegen verstehe ich kaum was xD
bitte nochmal sagen was ich mit dem Code (was für einer eig.?) machen soll?

die seite die du gesagt hast verstehe ich auch net

PS: den ordner lokale netzwerk einstellungen gibt es bei mir garnet

Channel

häää check ich net, was soll ihc jtzt machen?
kenne mich net sooooooooooooo gut mit pc's aus, deswegen verstehe ich kaum was xD
bitte nochmal sagen was ich mit dem Code (was für einer eig.?) machen soll?

die seite die du gesagt hast verstehe ich auch net

PS: den ordner lokale netzwerk einstellungen gibt es bei mir garnet

Vergiss es einfach mit dem Code-Tags. Ist nicht wichtig, es hält nur den Thread etwas übersichtlicher .

Du klickst auf der Seite auf "Durchsuchen" und öffnest die Datei, die ich dir genannt habe. Dann klicke auf "Senden der Datei". Nach einiger Zeit kommt eine Liste, die du hier hin kopieren sollst (bis die Liste komplett ist, können einige Minuten vergehen).

Hast du die genannten Einstellungen vorgenommen?

ok, den ordner habe ich jtzt, die .exe datei allerdings net

Channel

welche datei hast du mir denn gennant, wie gesagt den ordner gibt es bei mri net

c:\dokumente und einstellungen\000\lokale einstellungen\anwendungsdaten\ebsypgee.exe

Das ist die Datei die ich gerne überprüfen lassen würde. Falls du die Einstellungen übernommen hast, müsstest du den Ordner sehen können .
Dieser Ordner sollte es schon geben, sonst hättest du wohl mehr Probleme .

PS: nur lokale Einstellungen, nichts mit Netzwerk.

den ordner habe ich, die .exe datei allerdings net

Channel

den ordner habe ich, die .exe datei allerdings net

Na gut, erstelle bitte noch mal ein Hijackthis-Logfile

alles was da ist:
Ordner:
Adobe
Deployment
Google
Identitird
Microsoft
QubeSoft
Temp
WMTools Download files

Andere Dateien:
DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF
GDIPFONTCACHEV1
owowf
owowf
owowf_nav
owowf_napvps

Hijacks Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11:33, on 21.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\dokumente und einstellungen\000\lokale einstellungen\anwendungsdaten\owowf.exe
C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chro me.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chro me.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chro me.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chro me.exe
C:\Programme\Hijacks\abc.exe
C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chro me.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\17.0.0.136\IPSBHO.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\000\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe " /c
O4 - HKCU\..\Run: [owowf] "c:\dokumente und einstellungen\000\lokale einstellungen\anwendungsdaten\owowf.exe" owowf
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...scbase6796.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1223120122625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - C:\Programme\Norton AntiVirus\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe (file missing)

--
End of file - 5248 bytes

Lade dann bitte diese Datei hoch:

C:\dokumente und einstellungen\000\lokale einstellungen\anwendungsdaten\owowf.exe

und poste das Ergebnis (Link)

Von der alten ist nichts mehr zu sehen.

Datei owowf.exe empfangen 2009.09.21 20:19:51 (UTC)
Status: Beendet
Ergebnis: 3/41 (7.32%)
Filter
Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.21 -
AhnLab-V3 5.0.0.2 2009.09.21 -
AntiVir 7.9.1.23 2009.09.21 -
Antiy-AVL 2.0.3.7 2009.09.21 -
Authentium 5.1.2.4 2009.09.21 W32/Skintrim.1!Generic
Avast 4.8.1351.0 2009.09.21 -
AVG 8.5.0.412 2009.09.21 -
BitDefender 7.2 2009.09.21 -
CAT-QuickHeal 10.00 2009.09.21 -
ClamAV 0.94.1 2009.09.21 -
Comodo 2394 2009.09.21 -
DrWeb 5.0.0.12182 2009.09.21 -
eSafe 7.0.17.0 2009.09.21 -
eTrust-Vet 31.6.6750 2009.09.21 -
F-Prot 4.5.1.85 2009.09.21 W32/Skintrim.1!Generic
F-Secure 8.0.14470.0 2009.09.21 -
Fortinet 3.120.0.0 2009.09.21 -
GData 19 2009.09.21 -
Ikarus T3.1.1.72.0 2009.09.21 -
Jiangmin 11.0.800 2009.09.21 -
K7AntiVirus 7.10.850 2009.09.21 -
Kaspersky 7.0.0.125 2009.09.21 -
McAfee 5748 2009.09.21 -
McAfee+Artemis 5748 2009.09.21 Suspect-29!967EC6F72A9F
McAfee-GW-Edition 6.8.5 2009.09.21 -
Microsoft 1.5005 2009.09.21 -
NOD32 4445 2009.09.21 -
Norman 6.01.09 2009.09.21 -
nProtect 2009.1.8.0 2009.09.21 -
Panda 10.0.2.2 2009.09.21 -
PCTools 4.4.2.0 2009.09.20 -
Prevx 3.0 2009.09.21 -
Rising 21.48.04.00 2009.09.21 -
Sophos 4.45.0 2009.09.21 -
Sunbelt 3.2.1858.2 2009.09.21 -
Symantec 1.4.4.12 2009.09.21 -
TheHacker 6.5.0.2.014 2009.09.21 -
TrendMicro 8.950.0.1094 2009.09.21 -
VBA32 3.12.10.10 2009.09.21 -
ViRobot 2009.9.21.1945 2009.09.21 -
VirusBuster 4.6.5.0 2009.09.21 -
weitere Informationen
File size: 288768 bytes
MD5...: 967ec6f72a9f26b67f061ca6300fe13e
SHA1..: e69da81859e9376f19b3b298089e9808cf16685a
SHA256: 2bdb4ee5e678da0f9bf7ffbf3bc1c4a70918c124fb9f4e817635d43622e1 3ed0
ssdeep: 6144:6bxnrP8src1CAkTr4ri29+UXlSzNx6zfoSDICtH7xg7zgS2:Q5n9Bn+ i2wP
zNx6zuCtH7xgXr
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xa020
timedatestamp.....: 0x4442aa39 (Sun Apr 16 20 01 2006)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9b30 0x9c00 5.95 3dee880696faa1816e1123386eb1f3a9
.data 0xb000 0x3c3b8 0x3c400 6.79 d2276cdf886cc7a2bf14d5de73042689
.rsrc 0x48000 0x2c8 0x400 2.37 d917f173c0d0eda289edb77df9afcac1

( 1 imports )
> KERNEL32.dll: VirtualAlloc, GetCommandLineA, GetCurrentThread, lstrlenW, InterlockedCompareExchange, GetVersion, GetEnvironmentStringsW, TlsSetValue, SetEndOfFile, WideCharToMultiByte, WriteFile, QueryPerformanceCounter, InterlockedExchange, ReadFile, FreeEnvironmentStringsW, GetCPInfo, HeapFree, GetCurrentProcess, GetTempPathA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: dignit_
copyright....: averiar
product......: paltriness
description..: opresor
original name: n/a
internal name: tire-bouchonnai
file version.: 3, 4, 2, 6
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned


mehr steht da net

falls ich link posten sollte :

Virustotal. MD5: 967ec6f72a9f26b67f061ca6300fe13e W32/Skintrim.1!Generic W32/Skintrim.1!Generic

Channel

mehr steht da net

Aber genug .

Der Fund ist leider mager ausgefallen. Diesen Virus kennen leider kaum welche Antiviren-Programme .
Ist es noch nicht mal sicher, ob es sich um einem Handeln, aber wir sollten es vorsichtshalber doch entfernen.

Falls du weiß, wie man E-Mails verschicken kann mit Anhängen, dann schicke mir bitte diese Datei an meine Zweit-E-mail-Adresse: tom.l.twink@gmx.net


Danach löschst du die Datei und die anderen mit den selben Namen im Ordner.
c:\dokumente und einstellungen\000\lokale einstellungen\anwendungsdaten\owowf.exe

owowf
owowf
owowf_nav
owowf_napvps

Und fixe diesen Eintrag:

Code:

O4 - HKCU\..\Run: [owowf] "c:\dokumente und einstellungen\000\lokale einstellungen\anwendungsdaten\owowf.exe" owowf

Man fixt, indem man Hijackthis startet und auf "Do a system scan only klickt.
Nun sucht man den oben angegebende Eintrag und markiert, das leere weiße Kästchen mit einen Haken, neben den entsprechenden Eintrag.
Schließlich klickt man auf "Fix checked

Ansonsten könntest du noch zur Sicherheit:

• Combofix
• Malwarebytes

drüberlaufen lassen .
Poste die Ergebnisse, dann auch hier hin.
Anleitungen und Download sind im Link vorhanden...

Morgen hätte ich dann auch gerne wieder ein Hijackthis-Logfile.
Nur um zu sehen, dass es sich nicht wieder neu erstellt hat, der "Virus" .

mfg
bLacK_dRaSanG

k thx,
habe zusätzlich nochma COMODO I-NET SECURITY und SPYBOT runtergeladen.