04.07.2010, 00:49
| # 1 |
| Registriert seit: 04.07.2010
Beiträge: 4
| Hallo Leute. Meine Firewall erkennt seit ein Paar Tagen immer wieder die Tzw.exe und Tzx.exe als Schädlinge. Sie werden immer isoliert und in der Sandbox ausgeführt. Als Standort wird immer mein Temp-Ordner angezeigt. Leider sind die Dateien auf meinem System nicht zu finden. Programme wie Ad-Adware und Co blieben ohne Erfolg. Kennt jemand von Euch diese Problem??  Danke für die Hilfe Gruß Preepot |
 |
|
04.07.2010, 06:50
| # 2 |
| Moderator  Registriert seit: 31.10.2002 Ort: Oldenburg
Beiträge: 5.432
| Etwas mehr Info vielleicht? Betriebssystem, welche Firewall, welcher Anti-Virus (bzw. gemeinsam, welches "Internet Security"), was heißt "und Co."? Das klingt schon nach einem Schädling, aber anhand Deiner Angaben lässt sich mehr kaum sagen, der Name "Tzx.exe" ist wahrscheinlich rein zufällig und nicht als Grundlage zur Recherche geeignet. Mach zuerst mal ein HijackThis-Log und poste das hier, damit wir wenigstens etwas Grundwissen haben... Ach ja, und so wirklich dolle finden wir es ja nicht, wenn Leute ihre Hilferufe in mehreren Foren streuen, zumindest bei mir ruft das gleich die Befürchtung hervor, meine Arbeit zu verschwenden, oder in die "Stiftung Forentest" geraten zu sein. Wenn Dir an unserer Hilfe liegt, dann musst Du hier mitarbeiten und auch über alle Schritte informieren, auch wenn Du sie aus den anderen Foren hast... |
| |
|
04.07.2010, 12:13
| # 3 |
| Threadstarter Registriert seit: 04.07.2010
Beiträge: 4
| Hallo. Entschuldigung, wollte keine Mehrarbeit anzetteln. Mein BS ist Windows Vista, Home Premium, Servicepack 2, 32 Bit Version mit allen Updates. Ich benuzte Comodo Internet Security Premium 4.1.150349.920 Die Frage von Comodo lautet nur: Programm in der Sandbox oder Normal ausführen. Das etc. war nur, weil ich nicht mehr alle Namen wußte. Auf alle Fälle war es Ad-Aware, Antispyware Plus und Kapha Anti-Malware. Mit goolge finde ich leider wenig Info´s über die Dateien. Bei Kapha Anti-Malware wurden sie kurz erwähnt, hat aber auch nichts gefunden. Ich hoffe das hilft ein wenig weiter. Danke Preepot |
| |
|
04.07.2010, 13:49
| # 4 | |
 Registriert seit: 06.10.2009 Ort: MalwareCity
Beiträge: 49
| Zitat:
in welchem Forum hast du schon gepostet? Fertige mal Logs von diesen Programmen an: Trend Micro HijackThis 2.0.4 jetzt kostenlos downloaden bei Softwareload Malwarebytes GAV | |
| |
|
04.07.2010, 15:03
| # 5 |
| Moderator Registriert seit: 31.10.2002 Ort: Oldenburg
Beiträge: 5.432
| Welches andere Forum tut hier nicht zur Sache, ich jedenfalls will mir nicht die Mühe machen, dort gepostetes auch noch stets mit berücksichtigen zu müssen. Und um HijackThis-Log hatte ich ja auch gebeten... |
| |
|
04.07.2010, 23:28
| # 6 |
| Threadstarter Registriert seit: 04.07.2010
Beiträge: 4
| Hallo GehirnAntiVirus. Hier ist der Log von HijackThis Ich hoffe das ist das Richtige, kenne mich mit diesen Programmen leider nicht so gut aus. Das andere Bord war das gulli.board. Bin nach dem Post auf euer Board gestossen und dachte mir, hier bin ich besser aufgehoben. (Daher der doppel-post) Code: Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:17:14, on 04.07.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18928)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\DivX\DivX Update\DivXUpdate.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\conime.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.packardbell.com/?id=9283
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ${URL_SEARCHPAGE}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://go.web.de/suchbox/webdesuche?su=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-3689626120-932708374-2945821565-1000\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe (User 'Gisi')
O4 - HKUS\S-1-5-21-3689626120-932708374-2945821565-1000\..\Run: [gStart] C:\Garmin\gStart.exe (User 'Gisi')
O4 - HKUS\S-1-5-21-3689626120-932708374-2945821565-1000\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe (User 'Gisi')
O4 - HKUS\S-1-5-21-3689626120-932708374-2945821565-1000\..\Run: [Google Update] "C:\Users\Peter\AppData\Local\Google\Update\GoogleUpdate.exe" /c (User 'Gisi')
O4 - HKUS\S-1-5-21-3689626120-932708374-2945821565-1000\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User 'Gisi')
O4 - HKUS\S-1-5-18\..\Run: [FRITZ!protect] FwebProt.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [FRITZ!protect] FwebProt.exe (User 'Default user')
O4 - S-1-5-21-3689626120-932708374-2945821565-1000 Startup: wkcalrem.LNK = C:\Program Files\Microsoft Works\WkCalRem.exe (User 'Gisi')
O4 - S-1-5-21-3689626120-932708374-2945821565-1000 User Startup: wkcalrem.LNK = C:\Program Files\Microsoft Works\WkCalRem.exe (User 'Gisi')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll (file missing)
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL (file missing)
O16 - DPF: Garmin Communicator Plug-In - https://static.garmincdn.com/gcp/ie/2.9.2.0/GarminAxControl.CAB
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
--
End of file - 7478 bytes Preepot |
| |
|
05.07.2010, 07:00
| # 7 |
| Moderator Registriert seit: 31.10.2002 Ort: Oldenburg
Beiträge: 5.432
| Okay, in dem Log steht so nichts tragisches drin und wir haben etwas mehr den Überblick  Als nächstes ist, wie von @GehirnAntiVirus auch vorgeschlagen, Malwarebytes' Anti-Malware gut, lass mal laufen und vor allem, wenn es was anmerkt, dann berichte das hier im Detail, vielleicht sogar das komplette Log. Danach würde ich das System einmal "von außen" prüfen, d.h. von z.B. CD booten, damit sich ein Schädling nicht innerhalb des Betriebssystem verbergen kann: Avira AntiVir Rescue System. Eigentlich würde ich noch hinterfragen, ob COMODO Internet Security tatsächlich ausreichend vertrauenswürdig, effektiv ist, aber zumindest was gemeldet wird ist ja schon alarmierend. Ich frage mich nur (ohne Erfahrungen mit der Software zu haben), ob Du so gut bedient damit bist, wenn es in dieser Situation nur "Programm in der Sandbox oder Normal ausführen" anbietet, warum kein löschen oder verhindern, keine Quarantäne? Bietet Dir COMODO ein Log an, in dem Du Details zu dieser Rückfrage finden kannst, z.B. was COMODO glaubt da erkannt zu haben als Schädling (der Dateiname ist ja wie gesagt wenig aussagekräftig)? |
| |
|
05.07.2010, 23:46
| # 8 |
| Threadstarter Registriert seit: 04.07.2010
Beiträge: 4
| Hallo. Habe das Progamm Anti-Malware suchen lassen und es ist fündig geworden. 8 infizierte Dateien, die gelöscht wurden. Seitdem ist Ruhe. Vielen Dank für Eure schnelle Hilfe, einfach TOP!  ZurInfo noch der Log: Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 4275 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.18928 04.07.2010 23:39:32 mbam-log-2010-07-04 (23-39-32).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 147629 Laufzeit: 9 Minute(n), 9 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 5 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Users\Peter\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antispyware Plus.lnk (Rogue.AntiSpyware) -> Quarantined and deleted successfully. |
| |
|
06.07.2010, 00:33
| # 9 | |
| Registriert seit: 06.10.2009 Ort: MalwareCity
Beiträge: 49
| Zitat:
Bitte diesen Scanner im abgesicherten Modus ausführen: DR.Web hier downloaden: http://www.freedrweb.com/cureit/ Dann in den abgesicherten Modus booten, das machst du indem du beim Restart des Computers die F8 Taste drückst. wenn du dann im abgesicherten Modus bist lässt du DR. Web einen Scan machen und lässt alle Fünde löschen. Sag uns dann Bescheid was gefunden wurde. Die Avira Rescue CD ist auch gut ja. Mach mit der auch noch einen Scan, das ist am sichersten. Und auch die Interneteinstellungen auf den Standard zurücksetzen, weil die Malware hat die geändert. Das geht so: http://windows.microsoft.com/de-DE/w...rer-8-settings Und Commodo Internet Security deinstallieren, das ist nicht gut und macht Adware. Lieber den Vista Firewall nutzen und ein gutes kostenloses Programm wie z.B Avira, Avast oder Panda in the cloud. http://www.cloudantivirus.com/en/ GAV. | |
| |
|
06.07.2010, 06:13
| # 10 |
| Moderator Registriert seit: 31.10.2002 Ort: Oldenburg
Beiträge: 5.432
| @GehirnAntiVirus gibt es vorerst nichts hinzuzufügen, und den "[GELÖST]"-Hinweis im Titelthema habe ich erstmal wieder entfernt... |
| |
28.05.2012, 11:18
| # -- |
| News Flash  | Das könnte Dich auch noch interessieren:
Nicht fündig geworden? Dann ohne Anmeldung in unserem Gast-Forum nachfragen. |
