Visual Basic Virus?

Hallo,
ich hab seit den letzte Wochen ein komisches Problem was eigentlich kein Problem ist mich trotzdem misstrauisch macht. Jedes mal wenn ich Windows starte und mich anmelde laden erstmal ein paar Programme, so wie es sein soll, doch dann tauchen aufeinmal 2 Fenster auf welche extrem schnell wieder weg sind. Ich konnte grad mal das Symbol von VB darauf erkennen. Also das Icon von VB wenn man es nicht ändert.

Ich hab schon per msconfig nachgeschaut im Systemstart ob da was auffäliges eingetragen ist, ist es aber nicht. In der Registry find ich mich nicht wirklich zu recht und im Autostart Ordner ist auch nichts.

Vorhin konnte ich grade so sehen was auf den Fensterrahmen steht: TEST (Keine Rückmeldung).

Es sind 2 Fenster die wohl sofort abstürzen, auch wenn es was gefährliches sein sollte das immer von alleine ausgeht wäre ich doch beruhigter wenn es nicht da wäre.

Wie mache ich diese Anwendung ausfindig? Ich hab einen Virescann laufen lassen aber ohne Ergebnis. Hijackthis hab ich auch laufen lassen und da waren diese faulen Einträge:

Eine Zeit lang hatte ich auch das Problem wenn ich Internetradio hören wollte das dann aufeinmal der Sound ins haken kam und dann aufeinmal richtig langgezogen wurde und als letztes ist der PC komplett abgestürzt. Allerdings liegt das jetzt etwas länger zurück und tritt auch nicht mehr auf. Mich machen nur noch diese 2 Fenster stuzig.

 

Die ersten drei Einträge kannst du fixen. (Systemwiederherstellung deaktivieren, im abgesicherten Modus)
Die letzten beiden gehören wohl zum Soundkartentreiber.
Dann noch mit mbam scannen.

 

Deine Auszüge aus dem HJT sind zwar ganz schön, nutzen dir aber nichts, wenn du Hilfe von anderen erwartest. Da gehört schon das komplette log-File hierher!

Die beiden Einträge mit der "5uIrEshbqTKJ.exe" würden mich schon recht stutzig machen, denn dass normale "run"-Einträge im %temp%-Ordner stehen, ist eigentlich nicht normal.

 

Ok ich werde die ganze Log nochmal posten aber diese Datei die du ansprichst, hat unter den Eigenschaften als Original-Dateiname den Namen lj.exe.

Davon laufen derzeit 2 instanzen im Task-Manager, die Datei macht mich auch stuzig zumal weil sie verseckt ist. Ich werden die beiden Prozesse jetzt mal killen und schauen was passiert.

EDIT!!!
Ich hab die Prozesse jetzt gekillt und noch geht alles ohne Probleme, hier ist die Log:

 

Wie bereits geschrieben, halte ich reguläre Starteinträge, die auf Dateien im %temp%-Ordner verweisen für sehr kritisch. Sowas kann es in Windows nicht geben.

Und was ist mit den ganzen Einträgen, wo "file missing" steht? Wieso können reguläre Systemdateien vermisst werden?
Sowas deutet auf eine schwere Manipulation des Betriebssystems.

 

Das kommt wohl daher, weil der TO die ältere V2.0.2 benutzt. Aktuell ist die V2.0.4, die auch vom Hersteller für Windows 7 vorgesehen ist.

 

Dieses Mal beim hochfahren kamen die beiden Fenster nicht, aber auch die Prozesse waren nicht da. Also hab ich gedacht das es da ist, hab den Temp-Ordner aufgesucht und die verdächtige EXE gelöscht und danach den Papierkorb geleert. Mal sehen was jetzt passiert.

 

räumst Du da auch mal auf, oder lässt Du den Rest wie er ist? sind ja ~ 80% Schrott & Gerümpel in dem Log ...

 

Wie mach ich den Schrott weg? Mit einem Reg-Cleaner?

 

Damit wird es dann noch schlimmer.
Deinstallieren, was unnötig ist, Deaktivieren, was nicht automatisch starten soll. Dazu kannst du msconfig nehmen.
Das ist in Windows integriert und kann über Start-Ausführen gestartet werden.

 

Als erstes solltest du deine Überprüfung mal mit dem aktuellen HJT machen.

 

Hier ist die aktuelle Log mit dem neuen Hijack, ich hab die verdächtige Datei aus der Registry und dem Verzeichnis gelöscht, bisher hat sich nichts verändert außer das beim hochfahren nicht mehr die 2 komischen Fenster auftauchen.

Wo mir das mit den Fenster aufgefallen ist, habe ich auch mal Sachen vom PC geschmissen die nicht nicht mehr brauchte oder die ich meines wissens gar nicht installiert hab. Darunter waren auch ein paar Toolbars für Firefox. Unteranderem war auch eine Toolbar dabei, welche ich nachgooglete was die zu bedeuten hat und da kam dann das Torjanerboard mit dem Ergebnis das es halt ein Trojaner ist keine Toolbar. Sofort hab ich das ding runtergeschmissen.