Ordner C:\WINDOWS\FONTS\-

[SabineK]

Hallo, ich habe ein riesiges Problem auf dem Rechner meiner Tochter. Seit einigen Monaten läuft dieser extrem langsam. Da ich zurzeit Urlaub und ein wenig Zeit habe, begann ich damit diesen "aufzuräumen". Bei einem Virenscan fand ich plötzlich den Ordner - als Unterordner im Verzeichnis FONTS. Über den Dateiexplorer war dieser Ordner erst gar nicht auffindbar, erst als ich den Pfad in den Internetexplorer eingab, öffnete sich der Dateiexplorer mit diesem Ordner. Dort befanden sich zu diesem Zeitpunkt ca. 2000 Dateien mit einer Gesamtgröße von ca. 2 GB. Diese Dateien sind ausschließlich ZIP-Dateien mit den unterschiedlichsten Bezeichnungen von Liedern über Filme, Pornos und auch Kinderpornos. Nun dachte ich erst, es hätte irgendjemand auf Ihrem PC "gehackt" und diese Dateien da hinein geschmuggelt. Aber alles löschen nutzt nichts, die ZIP-Files entstehen sekündlich neu, nachdem man sie gelöscht hat, was bestimmt auch die Performance des PCs einschränkt. Nun weiß ich leider nicht, welcher Prozess für diese Auswüchse zuständig ist, klar ist nur, dass ich dieses, scheinbar im Hintergrund agierende, Programm los werden möchte aber gar nicht weiß, nach was ich suchen muss. Der Virenscanner findet dieses nicht, oder hält es scheinbar für ein "gutes" Programm. Kann mir irgendjemand helfen. Bin leicht verzweifelt. Vorab schon einmal vielen Dank. Sollte ich selbst dahinter kommen, melde ich mich noch einmal, um vielleicht anderen Betroffenen helfen zu können.

Liebe Grüße,

Sabine

 

[+++ATH0]

Wenn es schon soweit gekommen ist (Kinderpornos), dann sollte man SOFORT UMGEHEND ALLES PLÄTTEN.
Alle Festplatten gründlich formatieren und neu aufsetzen. Möglichst schnell, sofort und ohne Umwege.

 

[roadrunner1]

Wenn es schon soweit gekommen ist (Kinderpornos), dann sollte man SOFORT UMGEHEND ALLES PLÄTTEN.
Alle Festplatten gründlich formatieren und neu aufsetzen. Möglichst schnell, sofort und ohne Umwege.

Ja, aber erst, nachdem die betreffenden Dateien mittels einer Live-CD gesichert wurden, für Beweiszwecke.


@Sabine


Falls Du Dir das nicht zutraust, würde ich jemanden beauftragen, der sich damit auskennt. Ich plädiere sogar dafür, bei der Polizei Anzeige zu erstatten.


Bzgl. Live-CD:


Ist die einzige Möglichkeit, vor format : C


1.) wichtige, eigene Dateien, Bilder, etc. zu sichern
2.) Beweismittel, hier die Pornos etc. zu isolieren und zu sichern


Momentan gibt es auf der aktuellen c't für 3,30 im Zeitschriftenhandel so eine CD, die sog. Knoppicillin Notfall-CD. Hiermit wirst Du wie gesagt in die Lage versetzt, obige Aktionen durchzuführen ohne daß Du Angst haben mußt, daß die Malware *dazwischen funkt*, Du agierst mit dieser CD unabhängig vom infizierten Windows.


Andere Möglichkeit:


Von einem sauberen Zweitrechner (möglichst aber mit Router und DSL) folgende Datei laden:


http://ubuntu.intergenia.de/releases/7.10/


Der 1. Download-Link ist der richtige:


PC (Intel x86) desktop CD


Bitte zunächst auf der Festplatte speichern, dauert bei DSL 2000 ca. 40 Minuten. Es muß dann als .iso-Datei vorliegen. Sodann das Brennprogramm starten, die Option wählen: Image auf Disk brennen, es sollte sich ein Fenster öffnen, wo Du zu der .iso-Datei navigieren kannst. Diese dann auf CD brennen.


Mit dieser CD kannst Du ebenfalls Daten sichern und Beweise für die Kompromittierung Deines Systems verifizieren.


Das ist ein ziemlicher Aufwand, der da betrieben wird, aber aus Vorsicht würde ich doch mal darüber nachdenken. Plätten kannst Du immer noch, aber auch nicht allzu lange damit warten, da gebe ich meinem Vorposter recht.


Grüße und viel Erfolg, was immer Du auch machst wünscht roadrunner

 

[SabineK]

Puhh

Hi, puuhh, das ist natürlich ein harter Treffer. Ich habe gerade für meine andere Tochter einen PC platt gemacht und wieder aufgebaut. Das hat mich glatte vier Abende gekostet. Hmm...das ist ein Dell Rechner und ich habe eine Resource CD erhalten. Nur habe ich keine Windows XP CD damit erhalten. Nun kann ich dann nur hoffen, dass dieses auf dieser Resource CD enhalten ist. Dann werde ich mich wohl vorher noch einmal an Dell wenden, um das heraus zu bekommen. Aber lieben Dank. Es muss wohl irgendein seltsamer Virus sein, den selbst der Virenscanner nicht erkennt.

@Roadrunner, lieben Dank für Deine Antwort. Ich denke aus Vorsicht werde ich so vorgehen, wie Du vorgeschlagen hast. Man weiß ja nie für was das gut ist. Nicht dass ich hinterher irgendwelche Probleme bekomme. Besser is das. Also noch einmal DANKE!

Liebe Grüße,

Sabine

PS: Ob hinter diesen ZIP-Files wirklich irgendwelche Pornos oder sonstiges enthalten sind weiß ich natürlich nicht. Darin enthalten ist erst einmal eine Setup Datei, die ich natürlich nie ausgeführt habe, weil ich dachte, dass dann alles vorbei ist.

 

[dutchman2006]

roadrunner1 empfiehlt dir, die Daten für Beweiszwecke zu sichern.
Die Frage ist nur: Beweise gegen wen?

Mir is keine Malware bekannt, die Musik/Filme/Pornos/Kinderpornos 8o automatisch herunterlädt.
Ich will niemandem etwas unterstellen - evtl. irre ich mich ja sogar - aber besteht nicht vielleicht doch die Möglichkeit das die betroffenen Dateien (vielleicht aus Neugierde) absichtlich heruntergeladen worden sind? (Wie alt is denn die Tochter?)

Und hast du dir die gezippten Dateien schon mal angesehen oder leitest du den Inhalt aus den Dateinamen ab?

Erstellen sich die entpackten Dateien auch wieder selbst oder nur die ZIP-Archive selbst?

Bitte poste außerdem ein hijackthis-Logfile. (Das is ein Programm das alle Prozesse auf deinem PC scannt und mit einer Datenbank abgleicht - so findest du ein bösartiges Programm unter Umständen). Geht ganz schnell. http://www.hijackthis.de
Und poste das Logfile hier.
So können wir dir helfen. u.U. kommst du so sogar um das neu aufsetzen herum.

Und was für einen Virenscanner verwendest du?

LG
dutchman

 

[zero-9]

also ehrlich gesagt, würde ich da nichts sichern. ich würde die festplatte mit DBAN löschen und wegschmeissen. denn geht man davon aus, dass da irgendwo nur EIN Kinderporno drunter ist, bist du dran.

Der Besitz von Kinderpornographie ist grundsätzlich strengstens verboten. Und wenn du der Polizie sagst, du hättest auch noch Backups(!!!) gemacht, dann zeigen die dir n Vogel und du kannst dich dann schonmal auf n Prozess gefassst machen.

Also vom Sichern halt ich nicht viel.

Musst halt schauen. Untersuche die Dateien mal genauer. Wenn das nur kleine Dateien sind, dann können es ja schlecht Filme sein. Dann ist es "nur" Malware. Aber wenn es dann wirklich Filme sind, vor allen Dingen die oben genannten, mache die Festplatte platt und weg damit. Alles andere führt dich nur in Teufels Küche.

 

[roadrunner1]

@dutchman

roadrunner1 empfiehlt dir, die Daten für Beweiszwecke zu sichern.
Die Frage ist nur: Beweise gegen wen?

Kennst Du diesen Link?


http://www.pcwelt.de/index.cfm?pid=1864&pk=108278


Alleine schon deswegen gebietet es die Vorsicht und auch der Selbstschutz, das zu machen.Aber der Hinweis mit dem HJT ist gut.

Sabine, bevor Du das Logfile postest, mache bitte alle Dateiendungen sichtbar:

hier:



Quelle:
http://sicher-ins-netz.info/schutz/schutz.html


Mit welchem Betriebssystem war/ist Deine Tochter unterwegs gewesen? XP-Home mit SP2? Welcher Browser?


Grüße zurück, roadrunner

Nachtrag:

Es ist mir klar, daß das Kontroversen auslöst, und ich möchte auf keinen Fall, daß Du Schwierigkeiten bekommst. Nur, hinweisen wollte ich darauf auf jeden Fall.

Vielleicht ist es wirklich besser, alles platt zu machen, ohne meine Vorschläge umzusetzen, das, was meine Vorposter schreiben, hat natürlich auch was für sich, schwierige Entscheidung.....

2. Nachtrag

Sorry @ all, will nicht spammen, aber das läßt mir hier keine Ruhe....

BTW, ich habe noch mal nachgedacht, vermutlich ist mein Ansinnen zwar gut gemeint, aber nicht gut für Dich, Sabine. Und der Fall mit dem Schweden, der als Pädophiler abgestempelt wurde, ist irgendwie auch nicht vergleichbar, ich wollte nur zeigen, was möglich ist.

Daher, formatiere die Kiste, ohne irgendwelche Dateien zu sichern, die mußt Du abschreiben, sonst läufst Du Gefahr, daß mitgesicherte Schädlinge Dein sauberes System aufs neue infizieren.

Sorry, wenn ich Dich wuschig gemacht habe, aber das war mein 1. Impuls.

Grüße von roadrunner

 

[bitmuncher]

Ich hatte im Office sowas auch mal auf einem Datev-Server. Es handelt sich dabei um einen Trojaner (weiss leider nicht mehr genau welcher) und die Dateien, die in dem versteckten Ordner liegen, sind andere Trojaner, Viren und TrojanDownloader. Die einzige Lösung um das zu beseitigen war eine komplette Neuinstallation. Erkannt wurde er allerdings z.B. vom Clamwin.

 

[SabineK]

@all Danke schon einmal

Hallo,

vielen Dank schon einmal an alle, die mir hier helfen. Ich weiß das sehr zu schätzen.

@dutchman: Also das sind keine herunter geladenen Dateien, diese hier erzeugen sich ganz alleine. Ausgeführt habe ich die enthaltenen Setup-Dateien nicht, da ich befürchte damit den Rechner noch mehr zu schädigen. Ich schließe rein aus den Bezeichnungen der ZIP-Files darauf. Da erscheinen Namen wie Andre Rieu.ZIP oder 13yo having sex mpeg.ZIP usw. Mittlerweile ist die Größe auf über 6000 Dateien angewachsen, mir scheint mit jedem löschen werden mehr erzeugt. Leider lässt mich das System hier die Hijack-Datei nicht als txt-Datei hochladen. Obwohl die Datei nur 36kb groß ist und auf txt endet. Hmmm....Wenn Du mir trotzdem helfen möchtest, kannst Du mir eine E-Mail an sabine.krapp[ät]t-online[punkt]de senden, ich schicke Dir die Datei dann als Anhang. Als Virenscanner benutze ich McAfee.

Für meine Tochter (16) würde ich die Hand ins Feuer legen, dass sie sich diese Dateien selbst herunter geladen hat. Zum einen ist sie eine reine Anwenderin am PC, heißt, sie würde es gar nicht hinbekommen einen so gut versteckten Ordner zu erstellen, zum anderen kann man diese Dateien löschen wie man will, sie kommen immer wieder ohne dass man sie aus dem Internet herunter lädt.

@Roadrunner: Sie benutzt Windows XP Home SP2

So, vielen Dank noch einmal und Dutchman, wäre toll eine E-Mail von Dir zu bekommen, damit ich Dir diese Log-Datei senden kann.

Viele Grüße,

Bine

--- edit ---

Ich habe die E-Mail mal aus Spamschutzgründen mit [ät] und[punkt] angepasst

lightsaver

 

[lightsaver]

es wäre fast sinnvoller, wenn du das log hier postest und nicht nur per mail verschickst, weil sich das dann gleich mehrere leute ansehen können.

ich denke übrigens nicht, dass es sich hierbei wirklich um kipos oder so handeln wird. mir sind bei tauschbörsen in letzter zeit immer ergebnisse aufgefallen, die direkt meinen suchbegriff und dahinter downloader oder sowas in der art als namen hatten. dies ging selbst bei sehr kryptischen suchbegriffen, was bereits andeutet, dass die dateien immer genau dann erstellt wurden.
du wirst also vermutlich zusätzlich zu diesen dateien auch noch ein filesharing-programm in deinem system haben wovon du vermutlich noch nicht mal etwas weißt.

den tip mit der anzeige gegen unbekannt halte ich erstmal gar nicht für so falsch. du weißt nicht, was über deinen rechner so alles angestellt wurde und so kannst du dich zumindest teilweise absichern. es gibt hierbei nur zwei unsicherheiten. zum einen die möglichen kipos, wo ich aber wie erwähnt nicht glaube, dass es wirklich welche sind, und dann die zeit, die die polizei brauchen würde, um die beweismittel auf dem computer entsprechend zu sichern. schneller wäre hier also das direkte formatieren (sicherung von deinen daten nicht vergessen )

 

[beavisbee]

also wenn du schonmal in die ZIP-Dateien rein geguckt hast und diese enthalten eine setup.exe oder ähnliches, dann sind das keine KiPos und keine illegale Musik, sondern die Dateinamen wurden lediglich so gewählt, auf dass für Pädophile(KiPos), pupertierende Jugendliche(normale xxx-Filmchens) und Datensammler(MP3s) was dabei ist - in Wirklichkeit sind's jedoch nur Installer für irgendwelche Backdoor-Programme...


Du kannst ja mal Ad-Aware drüber laufen lassen (http://www.lavasoft.com/)
Der findet einige Sachen (Malware/Spyware/Adware/wie die ganzen Dinger halt heißen), die ein AntiViren-Programm nicht unbedingt findet.

 

[IsNull]

Obwohl ich inzwischen nicht mehr von illegalen Daten ausgehe, ist das ganze doch sehr brisant (mit KiPorns ist nicht zu Spassen im umgang mit den blauen). Zur Polizei würde ich damit niemals gehen.. am Ende wirst du da noch mit reingezogen.

Original von +++ATH0
Wenn es schon soweit gekommen ist (Kinderpornos), dann sollte man SOFORT UMGEHEND ALLES PLÄTTEN.
Alle Festplatten gründlich formatieren und neu aufsetzen. Möglichst schnell, sofort und ohne Umwege.

Würde ich auch so machen. Die Platte mit dem Gutmann-Verfahren überschreiben lassen. Dann stellt daraus niemand mehr irgendwas her. Dazu kannst du die bootable Version von Eraser nutzen.

Danach präventiv dafür sorgen dass dies nicht wieder vorkommt: Virenscanner, Eingeschränkte Userrechte, top aktuell geupdatetes System und Programme sowie mindestens einen Router (NAT Firewall ) für den Inetzugang.

 

[dutchman2006]

So, hier das HJT-Logfile:

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:21:57, on 19.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\smiqjdob.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\SiteAdvisor\6066\SiteAdv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programme\McAfee\MBK\McAfeeDataBackup.exe
C:\Programme\McAfee\MSC\mcshell.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6066\SiteAdv.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MBkLogOnHook] C:\Programme\McAfee\MBK\LogOnHook.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [848ccecb] rundll32.exe "C:\WINDOWS\system32\lgcnfbeb.dll",b
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\RunOnce: [RemoveInstallPath] cmd.exe C:\WINDOWS\system32\cmd.exe /c rmdir /S /Q "C:\PROGRA~1\Router" > nul
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145380286281
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: DomainService - - C:\WINDOWS\system32\smiqjdob.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MBackMonitor - McAfee - C:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 8582 bytes

Und somit hätten wir den Bösewicht gefunden:
C:\WINDOWS\Fonts\svchost.exe
...und der findet sich auch in der Registry:
HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe

Es handelt sich dabei - wie bitmuncher schon richtig festgestellt hat - um einen Trojaner. Genauer gesagt um "DLOADER-NX TROJAN" bzw. "Trojan-Downloader.Win32.Small.awm"

Eine gute Anleitung zum Entfernen dieser Malware konnte ich auf die Schnelle leider jetzt nicht finden, aber die meisten hier werden sich sicher einig sein, dass es ohnehin hinfällig is' und der PC neu aufgesetzt gehört.

Ich persönlich bin mir zwar 100pro sicher, dass sich hinter den Dateinamen höchstens was dubioses, nicht aber etwas illegales befindet, und würde demnach nur das Problem mit dem Virus beheben (vorausgesetzt der PC läuft sonst akzeptabel).

Aber das is ja nur die bescheidene Meinung eines dutchman .

LG
dutchman

 

[lightsaver]

naja, entfernen kann man den wie meistens:

systemwiederherstellung ausschalten
abgesicherter modus
hjt ausführen
eintrag markieren
auf fixen klicken
danach die dateien inkl. der genannten löschen
temp-dateien und temp internet dateien löschen
neustart und gucken, ob es funktioniert hat.

aber davon mal abgesehen würde ich auch dringend eine neuinstallation empfehlen

 

[SabineK]

DANKE an ALLE

Hi,

so, nachdem ich jetzt den PC gesäubert habe, so wie lightsaver es beschrieben hat, läuft der PC wieder einwandfrei. Diese merkwürdigen Dateien sind weg, auch die Registry-Einträge, keine seltsamer Ordner mehr da. Ich bin beruhigt und zufrieden.

Ich habe mich entschlossen nicht zur Polizei zu gehen, es handelte sich hierbei ja um keine "echten" Filme, somit, was soll ich hier antreten? Dass am Ende der PC beschlagnahmt wird? Nee, nee, und gegen den Urheber dieses Trojaners, sofern man den überhaupt noch ausfindig machen könnte, wird man bei der Polizei wohl eh nichts tun.

Das System läuft jetzt wieder so schnell wie eh und je, somit bin ich damit zufrieden und werde vorerst auch einmal darauf verzichten den PC komplett zu planieren, ich hatte eigentlich über Weihnachten etwas anderes vor, als alles wieder so einzurichten, wie es war.

Aber abschließend noch: Ich möchte jedem hier, der mir hier geholfen hat ein großes DANKE SCHÖN sagen!!! Ihr seid KLASSE!!! Ganz der Dummie bin ich ja eigentlich nicht in Bezug auf PCs, aber gegen Euch erblasse ich vor Neid. Meine Tochter war ganz begeistert, dass es so viele Menschen gibt, die anderen bei so einem Problem völlig uneigennützig helfen und auch ich weiß das zu schätzen!!

@dutchman: Vielen Dank für's Posten meiner Logfile!!

Euch allen hier wünsche ich ein frohes Weihnachtsfest und einen guten Rutsch ins neue Jahr. Und wenn ich wieder einmal Hilfe brauche, weiß ich ja jetzt an wen ich mich wenden kann. ))

Ganz liebe Grüße aus Wiesbaden,

Bine

 

[roadrunner1]

Hallo Sabine

Danke für's Feedback, war ja wirklich spannend, Deine Geschichte.

Ebenfalls ein schönes und ruhiges Fest, v. a. Gesundheit, und viel Glück im neuen Jahr.

LG, roadrunner

 

[dutchman2006]

Bitte - frohes Fest !