AdAware identifiziert, aber nicht löschbar

[Hakuna]

Hallo,

Ich habe folgendes Problem: Heute hat sich seltsamerweise der I-Explorer einfach mehrere Male von selbst geöffnet, obwohl ich eigentlich firefox benutze. Komisch. Also, Internetverbindung gekappt, Vollständige Systemprüfung durch Norton gemacht. Hat 4 Ergebnisse erbracht, 3 davon konnten gelöscht werden, das vierte, eine gewisse "logonui.exe" konnte nicht gelöscht werden. Als nichtswissender PC-Anwender hab ich gedacht, es liege daran, dass der Prozess noch läuft. Prozess abgeschossen, Datei gelöscht, Windows beinahe gecrashed, Datei wiederhergestellt und alles in Butter :P
Doch ich habe das Gefühl, diese Datei wird mir noch Ärger bereiten. Habe dann mal geschaut, ob sie sich wohl schon in den Systemstart eingenischt hat, et voilà:
Ein Eintrag in msconfig ist: logonui | "C:\.....\SEMBLY~1\logonui.exe" -vt yazb
Ein Anderer, der mich beunruhigt da er aufs Internet zugreifen wollte (danke norton für info), ist
spoolsv | "C:\.......\AppPatch\spoolsv.exe"

Kann ich was tun, oder ist meine Angst unbegründet?

Grüsse,
Hakuna

 

[Swisstreasure]

@Hakuna

"logonUI.exe" ist für die Gestaltung des Anmeldebildschirms für alle WindowsXP-Versionen verantwortlich
Wobei es sich dabei auch um einen trojaner handeln könnte.

Und betreffend spoolsv.exe: http://www.neuber.com/taskmanager/deutsch/prozess/spoolsv.exe.html


Um jedoch sicher zu gehen dass es keine Trojs sind, arbeite bitte folgendes ab:

1. Temp Dateien löschen
Download:CCleaner http://www.pctipp.ch/downloads/betriebssystem/30619/ccleaner_crap_cleaner.html)
Wie hier beschrieben einstellen und laufen lassen.
http://www.virus-protect.org/ccleaner.html

2. mache Combofix
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop
Alle Fenster schliessen und combofix.exe starten und bestaetige die folgende Abfrage mit 1 und drueckt Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.



3.Erstelle ein Hijackthis-Logfile

Download: http://www.pctipp.ch/downloads/betriebssystem/30231/hijackthis.html
Anleitung: http://www.pctipp.ch/forum/showthread.php?t=359
Log hier posten


Gruss Swiss

 

[Hakuna]

Hier das Logfile von ComboFix, scheint einiges gelöscht zu haben =)

Auch den anderen Scan hab ich gemacht.


So, danke übrigens schonmal, Swisstreasure!


Oh. Sehe gerade, dass mein Beitrag zu lange ist; habe die Logs bei nem filehoster raufgeladen.

HijackThis-Logfile:
http://www.speedshare.org/download.php?id=0DED12863

ComboFix-Logfile:
http://www.speedshare.org/download.php?id=8EABF73D3

 

[Swisstreasure]

Verborgene Dateien sichtbar machen

Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.


Dann lade folgende Dateien bei http://www.virustotal.com/de/ hoch
Falls du diese Dateien findest.

C:\DOKUME~1\Raffi\EIGENE~1\SEMBLY~1\logonui.exe
C:\Dokumente und Einstellungen\Raffi\Eigene Dateien\??pPatch\s?oolsv.exe


Mach dann noch einen Onlinescan mit: http://www.pandasoftware.com/products/activescan.htm

Gruss Swiss

 

[Hakuna]

Finde die Dateien nicht. Ich habe aber das Gefühl, dass sie ComboFix bereits gelöscht hat; finde keine vom User ausgeführten "logonui.exe" oder "spoolsv.exe" mehr im Taskmanager -> Reiter Prozesse. Vorhin hat dort die spoolsv 50 Prozent meiner CPU-Leistung gefressen und hat auch automatisch gestartet. Beides ist nicht mehr der Fall, ich hoffe also, dass alles in Ordnung ist :)

 

[Swisstreasure]

Das tönt doch schon sehr gut ;)

Mach trotzdem noch ein neues Hijack Logfile und poste es hier.
Download: http://www.pctipp.ch/downloads/betri...ijackthis.html
Anleitung: http://www.pctipp.ch/forum/showthread.php?t=359

Danach noch folgendes:
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

Gruss Swiss

 

[Hakuna]

So, hier noch das neue Hijackthis-Logfile: (wieder zu gross, darum raufgeladen)

http://www.speedshare.org/download.php?id=A5D9CF892

ComboFix hab ich entfernt.

Edit: Darf ich dann noch die Häcken rausmachen beim Autostart (also unter msconfig) oder die fraglichen Einträge gleich löschen?

 

[Swisstreasure]

Fixe die Einträge:

HijackThis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked + starte den Rechner neu.

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKCU\..\Run: [Tscl] "C:\DOKUME~1\Raffi\EIGENE~1\SEMBLY~1\logonui.exe" -vt yazb
O4 - HKCU\..\Run: [Iblnc] "C:\Dokumente und Einstellungen\Raffi\Eigene Dateien\??pPatch\s?oolsv.exe"

Nun sollten die Enträge weg sein.



WEBSERVER?

Ich denke du hast einen Webserver falls nicht, suche bitte folgende Dateien und
prüfen sie bei http://www.virustotal.com/de/
C:\Programme\Lokaler Webserver\xampp\mysql\bin\mysqld-nt.exe (dürfte von MYSQL sein)
C:\Programme\Lokaler Webserver\xampp\FileZillaFTP\FileZillaServer.exe (dürfte von FileZilla Webserver)


Zudem lade dir noch Spybot hinunter und lass es laufen. Das hilft auch vorbeugend ;)
Link: [http://www.pctipp.ch/downloads/sicherheit/25550/spybot_search_destroy.html


Gruss Swiss