etqah.exe

Welches Betriebssystem wird verwendet? Schonmal den Rechner nach Viren, Spyware etc gescannt?

Start -> Ausführen... -> msconfig eingeben -> OK -> Systemstart

Dort ggf. den Start deaktivieren (Haken rausnehmen). 

Autostart(Systemstart) Einträge löschen:In der Eingabeaufforderung (Bei XP unter Start<Ausführen) regedit eingeben.Mit Doppelklick navigieren zu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run im rechten Teilfenster den entsprechenden Eintrag suchen und löschen.Alternativ auch unter HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run schauen.Löschvorgang bestätigen und System neustarten.

Danke für eure Tipps.

Hilft aber leider alles nichts. Immer wenn ich es in der Systemkonfiguration deaktiviere oder lösche bzw alle Schlüssel aus der Registrierung lösche ist alles beim Neustart wieder da.
Habe mehrere Virenprogramme wie Antivir oder McAfee bzw Programme wie den CCleaner oder Spybot in den neusten Versionen drüberlaufen lassen - die finden aber nichts. ???

Kann also nur hoffen, dass es wirklich nichts "Schlimmes" ist.

 

Juhuu!
Ich konnte es mit CCleaner nach dem x-ten Anlauf löschen. Alle Schlüssel sind jetzt weg und der Computer läuft noch. Goodbye etqah.exe, wer immer du auch warst und was immer du auch wolltest.

. Alle Schlüssel sind jetzt weg und der Computer läuft noch. Goodbye etqah.exe, wer immer du auch warst und was immer du auch wolltest. 

Unter der Option "Extras" kann man ja bei CCleaner Registry Einträge des Autostarts löschen. Habe das öfter probiert - hat aber zuerst nicht geklappt (genau wie über msconfig). Die Einträge waren sofort wieder da.

Nachdem es dann doch klappte mit CCleaner hab ich alles was sonst noch in der Registry auf etqah.exe schließen ließ "per Hand gelöscht" (2 Einträge)

 

Wie auch immer:

Jedenfalls war und ist das keine Lösung.

Neu-Installieren willst und kannst du nicht, da vermutlich weder Datensicherung noch Backup gemacht wurde.

Spielt aber bei einem reinen Spiele-Rechner wie deinem ohnehin keine Rolle.

Wichtige Daten dürften dort in keiner Weise vorhanden sein

Oder irre ich mich da?

 

Spiele Rechner? Wie kommst du bitte dadrauf? Mein Rechner ist garnicht in der Lage irgendwelche (aktuellen) Spiele zu bewältigen.
Zudem ist ja gut zu wissen, dass du über die "wichtigen" Datein auf meinem PC Bescheid weisst!
Und - ne klar - Backups zu machen ist ja sowas von gestern - würd ich nie drauf kommen.
Ich bin froh, dass ich diesen blöden Autostart-Eintrag los bin (auch wenn er sich bis jetzt nicht negativ bemerkbar gemacht hat)

Also ich bezweifel mal ganz stark, dass es nur mit dem Löschen dieses eines Eintrags getan ist. Heutige Schädlinge sind viel tiefer und v.a. MEHRFACH im System "vergraben".

Malwarebytes schonmal ausgeführt?
Wo ist das Hijackthis-Logfile?
Da Hijackthis allein schon lange nicht mehr reicht, braucht es für eine Analyse schon RSIT- oder OTL-Logs. 

Nun,wenn der To meint,sein system ist sauber,bitte.Mal sehen,wann er wieder hier ist.Dürfte nicht lange dauern...

Der To hat folgenden Hijack-Bericht:


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:39:49, on 09.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\PCKiller\Desktop\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader2.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Verwaltung logischer Datenträger dmserverRSVP (dmserverRSVP) - Unknown owner - C:\WINDOWS\system32\actmoview.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: Google Update Service (gupdate1c98b0976949dac) (gupdate1c98b0976949dac) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

--
End of file - 8089 bytes

also,das ist kein comuter,sondern eine müllhalde.
Was machen 2 AV pogramme darin? nachlaufen spielen?
Ich denke,die gäste wird man so nicht finden,neuinstalieren und dann ein image fertigen ist deutlich sicherer.
 

Meinst Du den McAfee Security Scan?
Das Tool wird wenn man nicht aufpasst automatisch mit AdobeFalsh mitinstalliert!! 

@MarcMaroni: Was ist mit malwarebytes?

Hm,gut,das auf meinen rechnern flash hausverbot hat.Warum nur??