Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ HijackThis-Logs _ nach Rechnerneustart - öffent sich Ordner Dokumente und Einstellungen

Geschrieben von: Estarina 30.10.2013, 23:43

Hallo @ all,

nach Rechnerneustart öffnet sich seit 2-3 Tagen Ordner: C:\Dokumente und Einstellungen\Benutzername

Habe unter msconfig --> Systemstart geschaut - nichts diesbezüglich gefunden
auch direkt unter C:\Dokumente und Einstellungen ... in den einzelnen Startmenü --> Programme --> Autostart-Ordnern ... nichts dergleichen
Registry --> ebenfalls nichts was auf o.g. Ordnern hindeutet

confused.gif


Hijack This:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:27:47, on 30.10.2013
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
C:\Programme\G DATA\TotalProtection\AVK\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\WiFi\bin\EvtEng.exe
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\Programme\Intel\WiFi\bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\idt\dellxpm09b_6159v043\wdm\stacsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\TotalProtection\AVK\AVKService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Dell\Dell ControlPoint\DCPButtonSvc.exe
C:\Programme\Norton Ghost\Agent\VProTray.exe
C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\DellTPad\Apoint.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\AESTFltr.exe
C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
C:\Programme\Java\jre7\bin\jqs.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
C:\Programme\DellTPad\ApMsgFwd.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\DellTPad\HidFind.exe
C:\Programme\G DATA\TotalProtection\Firewall\GDFirewallTray.exe
C:\Programme\DellTPad\Apntex.exe
C:\Programme\G DATA\TotalProtection\AVKTray\AVKTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\Programme\LingoPad\LingoPad.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Secunia\PSI\sua.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\G DATA\TotalProtection\Firewall\GDFwSvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
D:\Daten\PC und Internet\Einstellungen am PC\Hijack\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [Norton Ghost 12.0] "C:\Programme\Norton Ghost\Agent\VProTray.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [AESTFltr] "C:\WINDOWS\system32\AESTFltr.exe" /NoDlg
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [APSDaemon] "C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\TotalProtection\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G Data AntiVirus Tray] C:\Programme\G DATA\TotalProtection\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [G Data ASM] "C:\Programme\G DATA\TotalProtection\DelayLoader\AutorunDelayLoader.exe" /autostart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [LingoPad] C:\Programme\LingoPad\LingoPad.exe /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: *.dell.com
O16 - DPF: {01A88BB1-1174-41EC-ACCB-963509EAE56B} - http://support.euro.dell.com/systemprofiler/SysPro.CAB
O16 - DPF: {49312E18-AA92-4CC2-BB97-55DEA7BCADD6} (WMI Class) - http://support.dell.com/systemprofiler/SysProExe.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1348148347281
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1348263137390
O16 - DPF: {8CFCF42C-1C64-47D6-AEEC-F9D001832ED3} (DellSystem.Scanner) - http://xserv.dell.com/DellDriverScanner/DellSystem.CAB
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54499735-932F-4018-9A9A-08024F855CD3}: NameServer = 192.168.122.252,192.168.122.253
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G Data\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G DATA\TotalProtection\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\TotalProtection\AVK\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Dell ControlPoint Button Service (buttonsvc32) - Dell Inc. - C:\Programme\Dell\Dell ControlPoint\DCPButtonSvc.exe
O23 - Service: Dell ControlPoint System Manager (dcpsysmgrsvc) - Dell Inc. - C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G DATA\TotalProtection\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G Data Software AG - C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
O23 - Service: G Data Tuner Service (GDTunerSvc) - G Data Software AG - C:\Programme\G DATA\TotalProtection\AVKTuner\AVKTunerService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Programme\Java\jre7\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MBAMScheduler - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel® Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: Secunia PSI Agent - Secunia - C:\Programme\Secunia\PSI\PSIA.exe
O23 - Service: Secunia Update Agent - Secunia - C:\Programme\Secunia\PSI\sua.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - c:\programme\idt\dellxpm09b_6159v043\wdm\stacsv.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel® Corporation - C:\Programme\Intel\WiFi\bin\WLKeeper.exe
O24 - Desktop Component 1: PC-Aquarium Deluxe - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 11680 bytes


Findet einer etwas verdächtiges?

Habe auch direkt unter Hijack This eine Auswertung laufen lassen:

O4 - HKLM\..\Run: [AESTFltr] "C:\WINDOWS\system32\AESTFltr.exe" /NoDlg
Was hat es damit auf sich?


Secunia ist sauber --> Programm zur Überprüfung der Aktualität von Software


Danke euch für Eure Hilfe und Tipps schon mal im Voraus.
Mit besten Grüßen

eure Estarina

Geschrieben von: Rene-gad 31.10.2013, 09:00

Hallo Estarina,
schaue Dir das an: http://www.winfaq.de/faq_html/Content/tip0500/onlinefaq.php?h=tip0546.htm

Geschrieben von: Estarina 31.10.2013, 13:35

@ Rene-gad

Danke für den Link - hatte ich bereits alles durchprobiert - bin noch einmal alle Punkte durchgegangen, hätte ja sein können, das ich letztens einen vergessen habe - aber nichts ... nirgends etwas, was den verdächtigen Eintrag gezeigt hätte.

confused.gif

Hat bitte noch jemand eine Idee?



Eure Estarina

Geschrieben von: Rene-gad 31.10.2013, 13:40

Erstelle bitte ein AVZ-Log nach Anleitung: http://forum.kaspersky.com/index.php?showtopic=202867

Geschrieben von: Peter 123 31.10.2013, 16:48

ZITAT(Estarina @ 31.10.2013, 00:42) *
Habe auch direkt unter Hijack This eine Auswertung laufen lassen:

O4 - HKLM\..\Run: [AESTFltr] "C:\WINDOWS\system32\AESTFltr.exe" /NoDlg
Was hat es damit auf sich?

Das scheint harmlos zu sein. Siehe hier: http://www.bleepingcomputer.com/startups/aestfltr.exe-25836.html
Auszug:
ZITAT
Command: %system%\AESTFltr.exe /NoDlg
Description: Developed by Andrea Electronics Corporation this file is part of an audio program that is preinstalled on certain Dell computers, be installed with certain USB audio devices, or be part of the AudioCommander software. The latter functions as an alternative to the computer's Volume Control interface. If preinstalled on the computer, disabling this startup will cause audio problems.

oder hier: http://www.file.net/prozess/aestfltr.exe.html
Auszug:
ZITAT
Mikrofon-Geräuschfilter von Andrea Electronics


Geschrieben von: kevin3002 31.10.2013, 18:03

Hi,
hast du den G Data Autostartmanager irgendwie eingerichetet?
Eventuell ist da ein Eintrag zu finden?

Grüße
kevin

Geschrieben von: Estarina 31.10.2013, 21:24

@ Peter 123

Danke für den Hinweis.


@ kevin3002

im Autostart-Manager von G-DATA ist diesbezüglich kein Eintrag.
Danke Dir trotzdem für den Tipp.

@ rene-gad

anbei die zip-Datei
bitte mal draufschauen
- einmal mit malware removeable mode (allerdings nicht bis zum Schluss durchgelaufen)
- deshalb dann noch einmal "nur" advanced system analysis


Hatte schon öfter mal eine Datei hochgeladen und somit an Beiträge angehängt - beseht denn diese Möglichkeit nicht mehr oder sehe ich es bloß nicht???


Eure Estarina

Geschrieben von: Estarina 31.10.2013, 21:30

AVZ Antiviral Toolkit log; AVZ version is 4.41
Scanning started at 31.10.2013 20:46:55
Database loaded: signatures - 297613, NN profile(s) - 2, malware removal microprograms - 56, signature database released 31.10.2013 16:00
Heuristic microprograms loaded: 405
PVS microprograms loaded: 9
Digital signatures of system files loaded: 603092
Heuristic analyzer mode: Maximum heuristics mode
Malware removal mode: disabled
Windows version is: 5.1.2600, Service Pack 3 ; AVZ is run with administrator rights
System Restore: Disabled
1. Searching for Rootkits and other software intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=085700)
Kernel ntkrnlpa.exe found in memory at address 804D7000
SDT = 8055C700
KiST = 80504570 (284)
Functions checked: 284, intercepted: 0, restored: 0
1.3 Checking IDT and SYSENTER
Analyzing CPU 1
Analyzing CPU 2
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
1.5 Checking IRP handlers
Driver loaded successfully
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = B9AA8694 -> C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = B9AA8694 -> C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
Checking - complete
2. Scanning RAM
Number of processes found: 67
Extended process analysis: 1560 C:\Programme\Gemeinsame Dateien\G Data\GDScan\GDScan.exe
[ES]:Program code includes networking-related functionality
[ES]:Application has no visible windows
[ES]:Registered for automatic startup !!
Extended process analysis: 688 C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
[ES]:Application has no visible windows
Extended process analysis: 792 C:\Programme\G DATA\TotalProtection\AVK\AVKService.exe
[ES]:Application has no visible windows
Extended process analysis: 2116 C:\Programme\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe
[ES]:Program code includes networking-related functionality
[ES]:Application has no visible windows
Extended process analysis: 4056 C:\Programme\FreePDF_XP\fpassist.exe
[ES]:Application has no visible windows
[ES]:Registered for automatic startup !!
Extended process analysis: 2352 C:\PROGRA~1\MICROS~3\rapimgr.exe
[ES]:Program code includes networking-related functionality
[ES]:Listens on TCP ports !
[ES]:Application has no visible windows
Extended process analysis: 3592 C:\Programme\Mozilla Firefox\firefox.exe
[ES]:Program code includes networking-related functionality
[ES]:Registered for automatic startup !!
[ES]:Loads RASAPI DLL - may use dialing ?
Number of modules loaded: 480
Scanning RAM - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious software
Checking - disabled by user
7. Heuristic system check
Found a call command line interpreter in startup [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\WINDOWS\system32\hkcmd.exe]
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: RemoteRegistry (Remote-Registrierung)
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: Alerter (Warndienst)
>> Services: potentially dangerous service allowed: Schedule (Taskplaner)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
Checking - complete
9. Troubleshooting wizard
>> HDD autorun is allowed
>> Network drives autorun is allowed
>> Removable media autorun is allowed
Checking - complete
Files scanned: 547, extracted from archives: 0, malicious software found 0, suspicions - 0
Scanning finished at 31.10.2013 20:47:59
Time of scanning: 00:01:05
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://forum.kaspersky.com/index.php?showforum=19
For automatic scanning of files from the AVZ quarantine you can use the service http://virusdetector.ru/
System Analysis in progress
System Analysis - complete

Geschrieben von: Estarina 31.10.2013, 22:12

Malwarebytes Anti Malware

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.10.31.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Thomas :: NBTHOMAS [Administrator]

31.10.2013 21:36:50
mbam-log-2013-10-31 (21-36-50).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 216857
Laufzeit: 23 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Geschrieben von: Rene-gad 01.11.2013, 08:48

ZITAT(Estarina @ 31.10.2013, 21:23) *
@ rene-gad
anbei die zip-Datei

Wo denn? Der gepostete Text zeigt, dass Du die AVZ-Anleitung nicht gelesen/verstanden hast. Bitte noch mal smile.gif
Log MBAM sieht sauber aus.
ZITAT(Estarina @ 31.10.2013, 21:23) *
Hatte schon öfter mal eine Datei hochgeladen und somit an Beiträge angehängt - beseht denn diese Möglichkeit nicht mehr oder sehe ich es bloß nicht???

Sehe gar keine von Dir angehängte Datei...

Geschrieben von: Estarina 01.11.2013, 10:02

@ Rene-gad

Denke mal schon, dass ich die Anleitung verstanden und korrekt durchgeführt habe - das Problem ist, dass ich bei rokop NICHT MEHR DIE MÖGLICHKEIT FINDE, die Log-Dateien hochzuladen.

die Logdateien, gibt es im zip Format
als auch virusinfo_syscheck.htm
als auch virusinfo_syscure.htm
... jeweils auch als *.xml und eben *.zip

virusinfo_autoquarantine.zip (dieses nur als zip)


Hast du eine Idee, wie ich Dir die Dateien zukommen lassen kann oder weshalb ich die Möglichkeit bei rokop nicht mehr angezeigt bekomme?


Mit besten Grüßen
Estarina

Geschrieben von: Rene-gad 01.11.2013, 14:21

ZITAT(Estarina @ 01.11.2013, 10:01) *
Denke mal schon, dass ich die Anleitung verstanden und korrekt durchgeführt habe - das Problem ist, dass ich bei rokop NICHT MEHR DIE MÖGLICHKEIT FINDE, die Log-Dateien hochzuladen.

Mag sein! Habe nicht darüber gedacht, sorry, bitte nur die KL_Syscure.zip über ein File-Sharing-Server (z.B. rapidshare.com) uploaden und den DL-Link hier posten

Geschrieben von: Estarina 01.11.2013, 16:27

@ Rene-gad

KL_Syscure.zip habe ich nicht im LOG Ordner gefunden, aber auch sonst nirgends confused.gif

http://rapidshare.com/share/3BC81CCBEF4DB252F3CE424E29CE8901


Bitte mal anschauen.


Mit besten Grüßen
Estarina

Geschrieben von: Rene-gad 02.11.2013, 10:51

Kann nichts finden, was ein solches Verhalten verursachen könnte. Hast Du in der letzten Zeit neue Hard/Software installiert?

ZITAT(Estarina @ 31.10.2013, 13:34) *
hätte ja sein können, das ich letztens einen vergessen habe

Eben der letzte Punkt ist Windows XP-spezifisch.

Geschrieben von: Estarina 02.11.2013, 12:17

@ Rene-gad

Vielen, vielen dank, dass du es durchgeschaut hast thumbup.gif


Habe in letzter Zeit nichts installiert und auch keine neue Hardware.

Der Windows-XP spezifische Registry Eintrag war i.O.
Eintrag war korrekt "Userinit="C:\WINDOWS\SYSTEM32\USERINIT.EXE,"


Und nun?
Der Ordner "C:\Dokumente und Einstellungen\Benutzername" öffnet zeitverzögert beim Rechnerneustart.


Mit besten Grüßen
Eure Estarina

Geschrieben von: Rene-gad 03.11.2013, 08:46

Hmm, k.A.
Schaue bitte noch was im Schlüssel "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell" geschrieben ist, es muss nur explorer.exe sein.

Geschrieben von: Estarina 03.11.2013, 11:09

Ja, der Eintrag in dem von Dir genannten Schlüssel ist ebenfalls korrekt - nur explorer.exe


Wirklich merkwürdig.


Ich danke Dir ganz sehr für deine vielen Tipps und Mühe.


Eure Estarina

Geschrieben von: kevin3002 03.11.2013, 12:23

Gerade das zeitverzögert bringt mich wieder auf den G Data Autostartmanager - alles andere ist doch ein direkter Start... ph34r.gif

Passiert das ganze denn auch, wenn du diesen Autostart mal deaktivierst?

O4 - HKLM\..\Run: [G Data ASM] "C:\Programme\G DATA\TotalProtection\DelayLoader\AutorunDelayLoader.exe" /autostart

Geschrieben von: Estarina 03.11.2013, 17:18

@ Kevin3002

Danke Dir, habe noch einmal geschaut
der Eintrag hängt bestimmt mit Quick Time zusammen - habe ich unter Autostart mit Zeitverzögerung in G--DATA TotalProtection.

Ja - liegt an Quick Time - habe dies in Autostart ohne Zeitverzögerung geschoben, gespeichert und Hijack this neu
dann fiel genau der Eintrag raus.

Hängt also leider nicht mit Ordner Dokumente und Einstellungen zusammen :-(



Mit besten Grüßen
Eure Estarina



Geschrieben von: Peter 123 03.11.2013, 22:12

Manchmal hilft es bei Computerproblemen weiter, wenn man mit den englischen Begriffen nach Lösungen sucht.

Versuche es mal zB. bei Google mit "Documents and Settings" (das entspricht unserem "Dokumente und Einstellungen"), allenfalls kombiniert mit Begriffen wie "opens" und "startup".

Ich habe da zB. Folgendes gefunden:

"Documents and Settings Folder opening on Startup":
http://forums.techguy.org/windows-xp/1044227-documents-settings-folder-opening-startup.html

Das Problem konnte beim dem Nutzer letztlich gelöst werden. Wie genau - dazu müsstest du dir den dortigen Thread selbst durchsehen. Mir war das jetzt zu langwierig. tongue.gif

Oder hier noch eine Anleitung von Microsoft selbst. Die bezieht sich allerdings darauf, dass sich der Ordner "Eigene Dateien" ("Documents") immer beim Start öffnet, also ein anderer Ordner als bei dir! (Außerdem bezieht sich der Artikel auf die Version von Windwos XP mit SP1.) Zumindest ansehen könntest du dir aber den dort erwähnten Registry-Eintrag:

- in schlechter deutscher Übersetzung: http://support.microsoft.com/kb/555294
- oder dasselbe in Englisch: http://support.microsoft.com/kb/555294/en-us

Ansonsten: Bei Google weitersuchen. Es gibt noch mehr zu den genannten Suchbegriffen. Mit Glück könnte etwas Passendes dabei sein.

Geschrieben von: Estarina 04.11.2013, 17:05

@ Peter 123

danke für die Links und den Tipp. thumbup.gif

Habe den Thread durchgeschaut - leider nichts passendes gefunden.
Der Registry-Eintrag ist bei mir i.O.


Habe C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp --> gelöscht
und seitdem öffnet sich C:\Dokumente und Einstellungen\Benutzername
beim Rechnerneustart nicht mehr.

Keine Ahnung, was es damit auf sich hatte.
Hoffe, dass es so bleibt und nochmals an alle vielen vielen Dank für eure Hilfe.


Eure Estarina

Geschrieben von: Peter 123 04.11.2013, 17:48

ZITAT(Estarina @ 04.11.2013, 18:04) *
Habe C:\Dokumente und Einstellungen\Benutzername\Lokale Einstellungen\Temp --> gelöscht
und seitdem öffnet sich C:\Dokumente und Einstellungen\Benutzername
beim Rechnerneustart nicht mehr.

Das ist dann ja ohnehin, was bei dem Nutzer in dem oben verlinkten Thread auch genützt hat. wink.gif

#18:
ZITAT
Clean out Temp Files.
Open the Start Menu.
In the Start Search area.
Type.
Cleanmgr

Press Enter.
Check [tick] Temporary files Only.
Click on OK.
Then Click on Delete Files.

#22:
ZITAT
This Laptop PC is seems to be running great now! )

Just did the Deletion of Temporary files.

Geschrieben von: Estarina 04.11.2013, 19:33

@ Peter 123


Da hast Du schon recht.

Allerdings wundert mich, denn ich hatte gleich zu Beginn der Problematik - bei G-DATA TotalProtection - den Tuner durchlaufen lassen - und die Option "Lösche Ordner mit temporären Dateien" aktiviert --> und das Problem bestand fort (habe gerade noch einmal bei Wiederherstellen von Sicherungspunkten geschaut -
C:\Dokumente und einstellungen\Benutzername\Lokale Einstellungen\Temp\*.* auch mit aufgeführt.

confused.gif

erst nach manuellem Löschen dieses Ordners scheint es behoben zu sein, dass fand/finde ich komisch.



Eure Estarina

Geschrieben von: galway 05.11.2013, 08:31

ZITAT(Estarina @ 04.11.2013, 20:32) *
... denn ich hatte gleich zu Beginn der Problematik - bei G-DATA TotalProtection - den Tuner durchlaufen lassen - und die Option "Lösche Ordner mit temporären Dateien" aktiviert --> und das Problem bestand fort (habe gerade noch einmal bei Wiederherstellen von Sicherungspunkten geschaut -
C:\Dokumente und einstellungen\Benutzername\Lokale Einstellungen\Temp\*.* auch mit aufgeführt...


Die meisten Cleaner (so z.B. auch CCleaner) löschen voreingestellt nur temp-Dateien und Ordner, die älter als 24 Stunden sind, vielleicht macht G-Data das auch so...

Gruß,

galway.

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)