[HaBo]

Korboh · 27.12.07, 19:35

seit paar Stunden, sind iwie meine Systemsteuerungen blockiert, sie sind aus meinem Startmenü verschwunden und wenn ich versuche sie irgendwie anders aufzurufen, kommt folgender Fehler:

Einschränkungen

(X) Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen, die für diesen Computer gelten. Wenden Sie sich an den Systemadministrator.

Eigentlich hab ich ja Administratorrechte und im abgesicherten Modus als "Administrator", kann ich auch auf die Systemsteuerungen wie gehabt zugreifen.

**lightsaver** · 27.12.07, 19:58

hmmm, was für ein windows hast du denn genau? in diesem fall könnte ich mir vorstellen, dass du da was über die gruppenrichtlinien machen kannst, das geht aber soweit ich weiß nur bei xp pro. das raussuchen der entsprechenden sachen würde sich also erst bei entsprechender info lohnen

Anzeige

- Anzeige -

Woosh · 27.12.07, 19:59

Hast du es schonmal hiermit probiert?

SUID:root · 27.12.07, 21:40

Möglicherweise hast du dir Malware eingefangen. Es kann gut sein, dass du dadurch gewissermaßen entmüdigt wurdest und sich die Malware durch veränderte Richtlinien zusätzlich vor Entfernung schützt.

Kannst du den Taskmanager aufrufen?
Kannst du mal einen Scan mit HiJackthis machen und das Log mal hier posten.

Es ist immer seltsam, wenn sich plötzlich Sicherheitseinstellungen ohne jegliche bewusste Änderung ändern.

root

Korboh · 27.12.07, 22:56

@ Woosh
nope, klappt nicht, hab keinen der Einträge bei mir gefunden.

@ root
jo, hatte nen ziemlich hohen Speicherverbrauch vom IE, obwohl ich nur Firefox an hatte. Hab den Prozess IExplorer sofort beendet, aber ich glaub nicht, dass das jetzt aufhört, Und Hijackthis hab ich auch scho 2 Mal durchlaufen lassen und da einiges gefixed, hier der Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:53:34, on 27.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\Explorer.exe
C:\Programme\Last.fm\LastFM.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Viktor\Desktop\Medien\Programme\Hija ckThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.7wolf.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F3 - REG:win.ini: load=C:\WINDOWS\system32\hggeb.exe
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MEDIAMOUSE] C:\Programme\Optical USB Mouse\lsmouse.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe
O4 - HKLM\..\Run: [SysSFGE.exe] C:\WINDOWS\system32\SysSFGE.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitLord\BitLord.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02...s/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099254598359
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/game...Plugin9USA.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd. exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

**lightsaver** · 28.12.07, 10:12

also in deinem log fallen mir sofort 2 einträge ins auge:

O4 - HKLM\..\Run: [SysSFGE.exe] C:\WINDOWS\system32\SysSFGE.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll

ich würde beide dateien mal unter http://virusscan.jotti.org/ scannen lassen und im zweifelsfall fixen.

scannen könntest du auch mal

F3 - REG:win.ini: load=C:\WINDOWS\system32\hggeb.exe

dieser eintrag / diese datei dürfte zwar vermutlich unschädlich sein, aber infos kann man darüber nicht finden. daher ist der scan doch schon recht sinnvoll

Korboh · 28.12.07, 12:59

hab schon beides mehrmals gefixed

Chakky · 28.12.07, 13:16

Zitat:

Original von Korboh
hab schon beides mehrmals gefixed

dann ab in den abgesicherten modus! antiviren programm/adaware oder sonstige antispyware drüberlaufen lassen!

hört sich nach spyware an!

**lightsaver** · 28.12.07, 14:44

nicht nur abgesicherter modus!

- systemwiederherstellung deaktivieren
- in den abgesicherten modus starten
- temp-ordner und temporary internet files leeren
- fixen
- die dateien per hand löschen
- neustarten
- nochmal scannen

wenn die dann immernoch da sind, dann hat sich ein schädling recht tief ins system verankert oder versteckt sich verdammt gut.

da dir hier ja eher keine werbung oder so präsentiert wird, würde ich persönlich diese ganze sache nicht mal in den bereich normale malware einordnen sondern wirklich schon in die kategorie trojaner und da gibt es eigentlich nur eine maßnahme: neuinstallation.

hast du die genannten dateien mal da online scannen lassen und wenn ja, mit welchem ergebnis?

Anzeige

- Anzeige -

27.12.07, 19:35	#1 (permalink)
Korboh Registriert seit: 06.11.06 Likes: 0	Systemsteuerungen blockiert Anzeige seit paar Stunden, sind iwie meine Systemsteuerungen blockiert, sie sind aus meinem Startmenü verschwunden und wenn ich versuche sie irgendwie anders aufzurufen, kommt folgender Fehler: Einschränkungen (X) Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen, die für diesen Computer gelten. Wenden Sie sich an den Systemadministrator. Eigentlich hab ich ja Administratorrechte und im abgesicherten Modus als "Administrator", kann ich auch auf die Systemsteuerungen wie gehabt zugreifen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
IE7 blockiert	Tenchuu	Windows	3	03.09.08 11:08
CD-ROm blockiert System	MrFreeze	Die Problemzone	5	06.08.08 09:59
Firewall blockiert kaspersky	22ixx	Virenschutz · Tools & Aggressive Software	4	29.01.08 20:48
mysql_connect() blockiert	mauralix	(Web-) Design und webbasierte Sprachen	4	23.04.07 11:37
Google blockiert TOR?	n8m	(In)security allgemein	5	13.12.05 15:14

27.12.07, 19:58	#2 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 51	hmmm, was für ein windows hast du denn genau? in diesem fall könnte ich mir vorstellen, dass du da was über die gruppenrichtlinien machen kannst, das geht aber soweit ich weiß nur bei xp pro. das raussuchen der entsprechenden sachen würde sich also erst bei entsprechender info lohnen

27.12.07, 19:59	#3 (permalink)
Woosh Registriert seit: 30.05.07 Likes: 0	Hast du es schonmal hiermit probiert?

27.12.07, 21:40	#4 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Möglicherweise hast du dir Malware eingefangen. Es kann gut sein, dass du dadurch gewissermaßen entmüdigt wurdest und sich die Malware durch veränderte Richtlinien zusätzlich vor Entfernung schützt. Kannst du den Taskmanager aufrufen? Kannst du mal einen Scan mit HiJackthis machen und das Log mal hier posten. Es ist immer seltsam, wenn sich plötzlich Sicherheitseinstellungen ohne jegliche bewusste Änderung ändern. root

27.12.07, 22:56	#5 (permalink)
Korboh Themenstarter Registriert seit: 06.11.06 Likes: 0	@ Woosh nope, klappt nicht, hab keinen der Einträge bei mir gefunden. @ root jo, hatte nen ziemlich hohen Speicherverbrauch vom IE, obwohl ich nur Firefox an hatte. Hab den Prozess IExplorer sofort beendet, aber ich glaub nicht, dass das jetzt aufhört, Und Hijackthis hab ich auch scho 2 Mal durchlaufen lassen und da einiges gefixed, hier der Log: Logfile of HijackThis v1.99.1 Scan saved at 22:53:34, on 27.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Last.fm\LastFMHelper.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\Explorer.exe C:\Programme\Last.fm\LastFM.exe C:\WINDOWS\system32\taskmgr.exe C:\Dokumente und Einstellungen\Viktor\Desktop\Medien\Programme\Hija ckThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.7wolf.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 F3 - REG:win.ini: load=C:\WINDOWS\system32\hggeb.exe O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [MEDIAMOUSE] C:\Programme\Optical USB Mouse\lsmouse.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe O4 - HKLM\..\Run: [SysSFGE.exe] C:\WINDOWS\system32\SysSFGE.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitLord\BitLord.exe" O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02...s/MSNPUpld.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099254598359 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/game...Plugin9USA.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.e xe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd. exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.e xe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing) O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

28.12.07, 10:12	#6 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 51	also in deinem log fallen mir sofort 2 einträge ins auge: O4 - HKLM\..\Run: [SysSFGE.exe] C:\WINDOWS\system32\SysSFGE.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll ich würde beide dateien mal unter http://virusscan.jotti.org/ scannen lassen und im zweifelsfall fixen. scannen könntest du auch mal F3 - REG:win.ini: load=C:\WINDOWS\system32\hggeb.exe dieser eintrag / diese datei dürfte zwar vermutlich unschädlich sein, aber infos kann man darüber nicht finden. daher ist der scan doch schon recht sinnvoll

28.12.07, 12:59	#7 (permalink)
Korboh Themenstarter Registriert seit: 06.11.06 Likes: 0	hab schon beides mehrmals gefixed

28.12.07, 14:44	#9 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 51	nicht nur abgesicherter modus! - systemwiederherstellung deaktivieren - in den abgesicherten modus starten - temp-ordner und temporary internet files leeren - fixen - die dateien per hand löschen - neustarten - nochmal scannen wenn die dann immernoch da sind, dann hat sich ein schädling recht tief ins system verankert oder versteckt sich verdammt gut. da dir hier ja eher keine werbung oder so präsentiert wird, würde ich persönlich diese ganze sache nicht mal in den bereich normale malware einordnen sondern wirklich schon in die kategorie trojaner und da gibt es eigentlich nur eine maßnahme: neuinstallation. hast du die genannten dateien mal da online scannen lassen und wenn ja, mit welchem ergebnis?

[HaBo]

Systemsteuerungen blockiert