Eine wirkliche Spezie... Trj/Nabload.DPS :(, Trojaner Nabload.DPS seit 1Woche hier am wuseln...werd ihn nicht los. |
Willkommen, Gast ( Anmelden | Registrierung )
Eine wirkliche Spezie... Trj/Nabload.DPS :(, Trojaner Nabload.DPS seit 1Woche hier am wuseln...werd ihn nicht los. |
14.02.2010, 14:26
Beitrag
#1
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
Hallo,
vor ner Woche hab ich per panda security nen online scan durchgeführt da insgesamt 5mal nen account von mir auf einer der großen online communitys gesperrt war (...mit der begründung das dieser account gecrackt wurde!) , wobei nebst ein paar cookies auch der Nabload.DPS Trojaner gefunden wurde. Panda konnte ihn nach dem auffinden nicht desinfizieren , woraufhin ich mich auf die Suche nach nem Tool hierfür gemachthabe-ohne Erfolg:( Scheint ne wirkliche Spezie zu sein...mit unglaublichen Mimikry-Talent. (Norton wuselt so in seelenruhe auf meinem PC herum...schnaaarch!) Der Räuber steckt jedenfalls (bisher?) in 2 combofix dateien : 1. c:\users\sic\downloads\combofix.exe[32788r22fwjfw\catchme.cfxxe] 2. c:\combofix\catchme.cfxxe Hab die erste auch bei virustotal hochgeladen... das ergebnis von catchme.cfxxs http://www.virustotal.com/de/analisis/480a...72d0-1265836637 die zweite konnte ich nicht finden und somit nicht hochladen...denke aber,es wäre nix besseres bei rumgekommen. Mittlerweile komm ich noch nichteinmal in den normalen modus. windows fährt hoch aber bleibt nach der eingabe des konto-passworts stehen. Funkenstille. ich hab schon versucht per rootkit cleaner irgendwas zu erreichen-aber nicht bedacht das im abgesicherten modus sowas nicht funzt. Mein Hijackthislog ist hier... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:22:36, on 14.02.2010 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18882) Boot mode: Safe mode with network support Running processes: C:\Windows\Explorer.EXE C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\DllHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\17.5.0.127\coIEPlg.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\17.5.0.127\IPSBHO.DLL O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\17.5.0.127\coIEPlg.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4 O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Program Files\Buyertools Reminder\ReminderIE.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing) O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/...can8/oscan8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{56FB059E-49F3-4CFD-A117-DC47D0BC215F}: NameServer = 213.191.92.86 62.109.123.6 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: ADSM Service (ADSMService) - ASUSTek Computer Inc. - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: BroadCam Video Streaming Server (BroadCamService) - Unknown owner - C:\Program Files\NCH Software\BroadCam\broadcam.exe (file missing) O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe O23 - Service: Google Update Service (gupdate1ca11d4c0f3da50) (gupdate1ca11d4c0f3da50) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Program Files\Norton Internet Security\Engine\17.5.0.127\ccSvcHst.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: Remote Procedure Call (RPC) Net (rpcnet) - Absolute Software Corp. - C:\Windows\system32\rpcnet.exe O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe -- End of file - 7783 bytes |
|
|
14.02.2010, 15:50
Beitrag
#2
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 1.300 Mitglied seit: 11.02.2009 Mitglieds-Nr.: 7.357 |
wann hast du combofix ausgeführt?
bitte poste combofix.txt |
|
|
14.02.2010, 16:15
Beitrag
#3
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
ich hatte damals combofix laut anweisung von jemanden aus diesem forum scannen lassen.
ich ahtte damals ein problem mit virtumonde hier die logs ComboFix 09-08-20.07 - sic 21.08.2009 18:41.1.2 - NTFSx86 Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.49.1031.18.2012.882 [GMT 2:00] ausgeführt von:: c:\users\sic\Downloads\ComboFix.exe SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9} SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\Installer\2d438c.msi c:\windows\system32\acovcnt.exe . ((((((((((((((((((((((( Dateien erstellt von 2009-07-21 bis 2009-08-21 )))))))))))))))))))))))))))))) . 2009-08-21 14:30 . 2009-08-19 08:00 87888 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090820.038\NAVENG.SYS 2009-08-21 14:30 . 2009-08-19 08:00 875728 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090820.038\NAVEX15.SYS 2009-08-21 14:30 . 2009-08-19 08:00 177520 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090820.038\NAVENG32.DLL 2009-08-21 14:30 . 2009-08-19 08:00 1181040 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090820.038\NAVEX32A.DLL 2009-08-21 14:30 . 2009-08-19 08:00 259368 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090820.038\ECMSVR32.DLL 2009-08-21 14:30 . 2009-07-31 08:00 371248 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090820.038\EECTRL.SYS 2009-08-21 14:30 . 2009-07-31 08:00 2414128 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090820.038\CCERASER.DLL 2009-08-21 14:30 . 2009-07-31 08:00 101936 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20090820.038\ERASER.SYS 2009-08-20 03:21 . 2009-08-20 03:21 -------- d-----w- c:\windows\system32\Adobe 2009-08-20 00:27 . 2009-08-20 00:27 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2009-08-20 00:23 . 2009-08-20 00:25 -------- d-----w- c:\windows\system32\LastFM Motorokr Screensaver dir 2009-08-20 00:23 . 2009-08-20 00:23 520192 ----a-w- c:\windows\system32\LastFM Motorokr Screensaver.scr 2009-08-19 23:35 . 2009-08-19 23:35 1924440 ----a-w- c:\users\sic\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe 2009-08-19 11:23 . 2009-08-19 11:23 -------- d-----w- c:\program files\CCleaner 2009-08-19 09:49 . 2009-08-21 14:24 -------- d-----w- c:\program files\Top-Rechnung2008v50 2009-08-19 09:49 . 2009-08-21 14:24 -------- d-----w- c:\windows\uninstall 2009-08-18 13:32 . 2009-08-18 13:32 -------- d-----w- c:\users\sic\AppData\Roaming\PeerNetworking 2009-08-18 13:31 . 2009-08-18 13:31 -------- d-----w- c:\users\sic\AppData\Roaming\CopyTransDoctor 2009-08-18 13:29 . 2009-08-18 13:30 -------- d-----w- c:\users\sic\AppData\Roaming\iLibs 2009-08-18 13:27 . 2009-08-21 14:24 -------- d-----w- c:\programdata\WindSolutions 2009-08-18 13:27 . 2009-08-18 13:28 -------- d-----w- c:\users\sic\AppData\Roaming\WindSolutions 2009-08-16 12:24 . 2009-08-21 14:54 -------- d-----w- c:\programdata\Spybot - Search & Destroy 2009-08-16 12:24 . 2009-08-16 12:24 -------- d-----w- c:\program files\Spybot - Search & Destroy 2009-08-15 22:22 . 2009-08-17 08:58 680 ----a-w- c:\users\sic\AppData\Local\d3d9caps.dat 2009-08-12 02:22 . 2009-07-11 23:15 533880 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\Scxpx86.dll 2009-08-12 02:22 . 2009-07-11 23:15 451960 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSxpx86.dll 2009-08-12 02:22 . 2009-07-11 23:15 397360 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSviA64.sys 2009-08-12 02:22 . 2009-07-11 23:15 293424 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSvix86.sys 2009-08-12 02:22 . 2009-07-11 23:15 276344 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSXpx86.sys 2009-08-11 23:02 . 2009-08-11 23:02 -------- d-----w- c:\programdata\Ableton 2009-08-11 23:02 . 2009-08-11 23:02 -------- d-----w- c:\users\sic\AppData\Roaming\Ableton 2009-08-11 22:45 . 1998-10-29 14:45 306688 ----a-w- c:\windows\IsUninst.exe 2009-08-11 19:49 . 2009-08-11 19:49 -------- d-----w- c:\users\sic\AppData\Local\Native Instruments 2009-08-11 19:48 . 2009-08-11 19:48 -------- d-----w- c:\program files\Native Instruments 2009-08-11 15:53 . 2009-08-11 15:53 -------- d-----w- c:\program files\ASIO4ALL v2 2009-08-09 16:20 . 2009-08-09 16:20 -------- d-----w- c:\users\sic\AppData\Roaming\DivX 2009-08-09 00:28 . 2009-08-09 00:28 -------- d-----w- c:\program files\Common Files\DivX Shared 2009-08-09 00:28 . 2009-08-09 00:29 -------- d-----w- c:\program files\DivX 2009-08-07 18:42 . 2009-08-07 18:42 -------- d-----w- c:\users\sic\AppData\Roaming\MixMeister Technology 2009-08-07 18:42 . 2009-08-07 18:42 -------- d-----w- c:\program files\MixMeister Fusion 2009-08-06 18:07 . 2009-08-06 18:07 -------- d-----w- c:\programdata\ALM 2009-08-05 03:24 . 2009-08-05 03:24 -------- d-----w- c:\programdata\FLEXnet 2009-08-05 03:15 . 2009-08-05 03:15 -------- d-----w- c:\program files\Adobe Media Player 2009-08-05 03:13 . 2009-08-05 03:13 -------- d-----w- c:\program files\Common Files\Adobe AIR 2009-08-05 03:10 . 2009-08-05 03:10 -------- d-----w- c:\program files\Common Files\Macrovision Shared 2009-08-05 01:09 . 2009-08-05 01:09 -------- d-----w- c:\users\sic\AppData\Local\eMule 2009-08-05 01:09 . 2009-08-05 01:09 -------- d-----w- c:\programdata\eMule 2009-08-04 20:31 . 2009-08-04 20:34 -------- d-----w- c:\program files\Common Files\DVDVideoSoft 2009-08-04 20:31 . 2009-08-04 20:31 -------- d-----w- c:\program files\DVDVideoSoft 2009-08-04 18:25 . 2009-08-04 18:28 -------- d-----w- c:\users\sic\sic 2009-08-04 15:13 . 2009-06-04 07:40 43872 ------w- c:\windows\system32\drivers\PxHelp20.sys 2009-08-04 15:13 . 2009-06-04 07:40 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys 2009-08-04 15:13 . 2009-06-04 07:40 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys 2009-08-04 15:13 . 2009-08-04 15:13 -------- d-----w- c:\program files\Common Files\PX Storage Engine 2009-08-03 21:28 . 2009-08-03 21:28 339968 ----a-w- c:\windows\system32\pythoncom25.dll 2009-08-03 21:28 . 2009-08-03 21:28 2117632 ----a-w- c:\windows\system32\python25.dll 2009-08-03 21:28 . 2009-08-03 21:28 114688 ----a-w- c:\windows\system32\pywintypes25.dll 2009-08-03 21:28 . 2008-09-16 16:26 1332197 ----a-w- c:\windows\system32\pythondll.zip 2009-08-02 16:07 . 2009-08-02 16:07 -------- d-----w- c:\users\sic\AppData\Local\Mozilla 2009-08-02 16:07 . 2009-03-12 08:42 554352 ----a-r- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn\components\coFFPlgn.dll 2009-08-02 15:22 . 2009-08-02 15:22 -------- d-----w- c:\users\sic\AppData\Local\Power2Go 2009-08-01 20:21 . 2009-08-01 20:21 -------- d-----w- c:\users\sic\AppData\Roaming\Canneverbe_Limited 2009-08-01 20:21 . 2009-08-01 20:21 -------- d-----w- c:\program files\CDBurnerXP 2009-08-01 18:02 . 2009-08-18 10:02 -------- d-----w- c:\users\sic\AppData\Roaming\Download Manager 2009-08-01 17:40 . 2009-08-01 17:40 -------- d-----w- c:\users\sic\AppData\Local\ASUS 2009-08-01 14:10 . 2009-08-01 14:10 -------- d-----w- c:\program files\Audacity 2009-08-01 13:01 . 2009-08-01 13:01 53319 ----a-w- c:\programdata\Temp\{D36DD326-7280-11D8-97C8-000129760CBE}\PostBuild.exe 2009-08-01 13:00 . 2009-08-01 13:00 53319 ----a-w- c:\programdata\Temp\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\PostBuild.exe 2009-08-01 12:58 . 2007-01-08 20:17 27168 ------w- c:\windows\system32\msxml3a.dll 2009-08-01 12:50 . 2008-09-25 08:33 34088 ----a-w- c:\programdata\CyberLink\Power2Go\P2GoGadget.dll 2009-08-01 12:49 . 2009-08-01 12:49 36864 ----a-w- c:\programdata\Temp\{40BF1E83-20EB-11D8-97C5-0009C5020658}\PostBuild.exe 2009-08-01 12:48 . 2009-08-01 12:48 -------- d-----w- C:\MyWorks 2009-08-01 12:47 . 2007-03-22 19:28 1053232 ------w- c:\windows\system32\MFC71u.dll 2009-08-01 12:47 . 2007-03-22 19:28 1066544 ------w- c:\windows\system32\MFC71.dll 2009-08-01 12:46 . 2009-08-01 13:01 -------- d-----w- c:\program files\CyberLink 2009-08-01 12:46 . 2009-08-01 12:50 -------- d-----w- c:\programdata\CyberLink 2009-08-01 12:46 . 2009-08-01 12:46 53319 ----a-w- c:\programdata\Temp\{5DB1DF0C-AABC-4362-8A6D-CEFDFB036E41}\PostBuild.exe 2009-08-01 12:38 . 2009-03-19 14:32 23400 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys 2009-08-01 12:38 . 2008-04-17 10:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll 2009-08-01 12:37 . 2009-08-01 12:37 -------- d-----w- c:\program files\iPod 2009-08-01 11:47 . 2009-08-01 11:47 -------- d-----w- c:\users\sic\AppData\Roaming\Sony 2009-08-01 11:46 . 2009-08-01 11:46 -------- d-----w- c:\users\sic\AppData\Roaming\Publish Providers 2009-08-01 11:46 . 2009-08-01 11:46 -------- d-----w- c:\users\sic\AppData\Roaming\NetMedia Providers 2009-08-01 10:03 . 2009-03-12 08:42 165240 ----a-r- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\IPSFFPlgn\components\IPSFFPl.dll 2009-08-01 01:10 . 2008-10-22 01:22 2048 ----a-w- c:\windows\system32\tzres.dll 2009-07-31 21:51 . 2009-07-31 21:51 683801 ----a-w- c:\programdata\Last.fm\Client\UninstWMP\unins000.exe 2009-07-31 21:51 . 2009-07-31 21:51 108 ----a-w- c:\programdata\Last.fm\Client\uninst2.bat 2009-07-31 21:51 . 2009-07-31 21:51 -------- d-----w- c:\programdata\Last.fm 2009-07-31 21:51 . 2009-07-31 21:51 683801 ----a-w- c:\programdata\Last.fm\Client\UninstITW\unins000.exe 2009-07-31 21:50 . 2009-07-31 21:50 -------- d-----w- c:\users\sic\AppData\Local\Last.fm 2009-07-31 21:50 . 2009-07-31 21:50 -------- d-----w- c:\program files\Last.fm 2009-07-31 18:45 . 2009-08-01 11:45 -------- d-----w- c:\users\sic\AppData\Local\Sony 2009-07-31 18:42 . 2009-07-31 19:40 -------- d-----w- c:\program files\Sony Setup 2009-07-31 18:21 . 2009-04-30 12:37 428544 ----a-w- c:\windows\system32\EncDec.dll 2009-07-31 18:21 . 2009-04-30 12:37 293376 ----a-w- c:\windows\system32\psisdecd.dll 2009-07-31 18:21 . 2008-06-26 01:45 12240896 ----a-w- c:\windows\system32\NlsLexicons0007.dll 2009-07-31 18:21 . 2008-06-26 01:45 2644480 ----a-w- c:\windows\system32\NlsLexicons0009.dll 2009-07-31 18:21 . 2008-06-26 03:29 801280 ----a-w- c:\windows\system32\NaturalLanguage6.dll 2009-07-31 18:17 . 2008-06-26 03:29 303616 ----a-w- c:\windows\system32\wmpeffects.dll 2009-07-31 18:17 . 2008-09-05 05:14 1191936 ----a-w- c:\windows\system32\msxml3.dll 2009-07-31 18:17 . 2008-12-16 05:31 7680 ----a-w- c:\windows\system32\spwmp.dll 2009-07-31 18:17 . 2008-12-16 05:31 4096 ----a-w- c:\windows\system32\dxmasf.dll 2009-07-31 18:17 . 2008-12-16 03:29 8147456 ----a-w- c:\windows\system32\wmploc.DLL 2009-07-31 18:15 . 2008-08-28 03:40 425472 ----a-w- c:\windows\system32\PhotoMetadataHandler.dll 2009-07-31 18:14 . 2008-09-18 04:56 125952 ----a-w- c:\windows\system32\wersvc.dll 2009-07-31 18:00 . 2009-08-21 14:34 -------- d-----w- c:\program files\VstPlugins 2009-07-31 17:59 . 2009-07-31 17:59 -------- d-----w- c:\program files\Outsim 2009-07-31 17:58 . 2009-08-21 14:28 -------- d-----w- c:\program files\Image-Line 2009-07-31 16:09 . 2009-07-11 23:15 533880 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090730.003\Scxpx86.dll 2009-07-31 16:09 . 2009-07-11 23:15 451960 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090730.003\IDSxpx86.dll 2009-07-31 16:09 . 2009-07-11 23:15 397360 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090730.003\IDSviA64.sys 2009-07-31 16:09 . 2009-07-11 23:15 293424 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090730.003\IDSvix86.sys 2009-07-31 16:09 . 2009-07-11 23:15 276344 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090730.003\IDSXpx86.sys 2009-07-31 15:44 . 2009-08-01 14:05 -------- d-----w- c:\users\sic\AppData\Roaming\Audacity 2009-07-31 15:43 . 2009-07-31 15:43 -------- d-----w- c:\program files\Audacity 1.3 Beta (Unicode) 2009-07-31 15:36 . 2009-08-21 14:26 -------- d-----w- c:\program files\Steinberg 2009-07-31 15:36 . 2009-07-31 15:36 -------- d-----w- c:\program files\Common Files\KORG 2009-07-31 15:36 . 2009-07-31 15:36 -------- d-----w- c:\program files\KORG Legacy 2009-07-31 15:36 . 2009-07-31 15:36 -------- d-----w- c:\programdata\KORG 2009-07-31 15:11 . 2009-07-31 15:12 -------- d-----w- c:\programdata\WinZip 2009-07-31 14:34 . 2009-07-31 14:34 -------- d-----w- c:\users\sic\AppData\Local\Apple Computer 2009-07-31 14:34 . 2009-08-02 17:47 -------- d-----w- c:\users\sic\AppData\Roaming\Apple Computer 2009-07-31 14:33 . 2009-08-01 12:37 -------- d-----w- c:\program files\iTunes 2009-07-31 14:33 . 2009-07-31 14:33 -------- d-----w- c:\programdata\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} 2009-07-31 14:31 . 2009-07-31 14:31 -------- d-----w- c:\program files\Bonjour . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-10 19:48 . 2008-01-21 07:15 618442 ----a-w- c:\windows\system32\perfh007.dat 2009-08-10 19:48 . 2008-01-21 07:15 122842 ----a-w- c:\windows\system32\perfc007.dat 2009-08-07 19:26 . 2009-08-07 19:26 766 ----a-r- c:\users\sic\AppData\Roaming\Microsoft\Installer\{E89B484C-B913-49A0-959B-89E836001658}\ARPPRODUCTICON.exe 2009-08-05 03:26 . 2009-07-30 21:52 49776 ----a-w- c:\users\sic\AppData\Local\GDIPFONTCACHEV1.DAT 2009-08-03 21:28 . 2008-07-29 10:54 348160 ----a-w- c:\windows\system32\msvcr71.dll 2009-08-02 18:24 . 2009-08-02 18:24 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf 2009-08-02 17:47 . 2009-08-02 17:47 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf 2009-08-01 13:17 . 2009-08-01 13:17 84 ---ha-w- c:\programdata\aspg.dat 2009-08-01 13:06 . 2009-07-31 10:06 -------- d--h--w- c:\program files\InstallShield Installation Information 2009-08-01 10:04 . 2009-07-31 10:25 805 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF 2009-08-01 10:04 . 2009-07-31 10:25 7386 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT 2009-08-01 02:12 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail 2009-08-01 02:12 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat 2009-07-31 10:35 . 2009-07-31 10:35 0 ----a-w- c:\windows\system32\drivers\1043_ASUSTeK_K50IJ.alu 2009-07-31 10:26 . 2009-07-31 10:21 -------- d-----w- c:\programdata\Norton 2009-07-31 10:21 . 2009-07-31 10:21 1294680 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\SyKnAppS\SyKnAppS.dll 2009-07-31 10:21 . 2009-07-31 10:21 136840 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\SyKnAppS\patch25.dll 2009-07-31 10:21 . 2009-07-31 10:21 288104 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\CPDOEM\CPDOEM.dll 2009-07-31 10:21 . 2009-07-31 10:21 796016 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\CLT\cltLMSx.dll 2009-07-31 10:21 . 2009-07-31 10:21 -------- d-----w- c:\program files\Norton Internet Security 2009-07-31 10:21 . 2009-07-31 10:21 -------- d-----w- c:\programdata\NortonInstaller 2009-07-31 10:21 . 2009-07-31 10:21 -------- d-----w- c:\program files\NortonInstaller 2009-07-31 10:16 . 2009-07-31 10:06 -------- d-----w- c:\program files\Common Files\InstallShield 2009-07-31 10:06 . 2009-07-31 10:06 -------- d-----w- c:\program files\VIA 2009-07-30 21:50 . 2009-07-30 21:50 -------- d-sh--we c:\programdata\Vorlagen 2009-07-30 21:50 . 2009-07-30 21:50 -------- d-sh--we c:\programdata\Startmenü 2009-07-30 21:50 . 2009-07-30 21:50 -------- d-sh--we c:\programdata\Favoriten 2009-07-30 21:50 . 2009-07-30 21:50 -------- d-sh--we c:\programdata\Dokumente 2009-07-30 21:50 . 2009-07-30 21:50 -------- d-sh--we c:\programdata\Anwendungsdaten 2009-07-30 21:50 . 2009-07-30 21:50 -------- d-sh--we c:\program files\Gemeinsame Dateien 2009-07-18 16:06 . 2009-07-31 18:15 827904 ----a-w- c:\windows\system32\wininet.dll 2009-07-18 16:01 . 2009-07-31 18:15 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-07-18 09:46 . 2009-07-31 18:15 26624 ----a-w- c:\windows\system32\ieUnatt.exe 2009-07-13 12:22 . 2009-07-13 12:22 75048 ----a-w- c:\programdata\Apple Computer\Installer Cache\iTunes 8.2.1.6\SetupAdmin.exe 2009-07-11 23:15 . 2009-07-31 10:21 397360 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSviA64.sys 2009-07-11 23:15 . 2009-07-31 10:21 293424 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSvix86.sys 2009-07-11 23:15 . 2009-07-31 10:21 276344 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSXpx86.sys 2009-07-11 23:15 . 2009-07-31 10:21 533880 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\Scxpx86.dll 2009-07-11 23:15 . 2009-07-31 10:21 451960 ----a-w- c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\BinHub\IDSxpx86.dll 2009-07-09 10:16 . 2009-07-09 10:16 39424 ----a-w- c:\windows\system32\drivers\usbaapl.sys 2009-07-09 10:16 . 2009-07-09 10:16 2060288 ----a-w- c:\windows\system32\usbaaplrc.dll 2009-06-15 15:24 . 2009-07-31 18:18 156672 ----a-w- c:\windows\system32\t2embed.dll 2009-06-15 15:20 . 2009-07-31 18:18 72704 ----a-w- c:\windows\system32\fontsub.dll 2009-06-15 15:20 . 2009-07-31 18:18 10240 ----a-w- c:\windows\system32\dciman32.dll 2009-06-15 12:52 . 2009-07-31 18:18 289792 ----a-w- c:\windows\system32\atmfd.dll 2009-06-12 17:53 . 2008-07-29 10:53 368640 ----a-w- c:\windows\system32\ReWire.dll 2008-12-23 11:36 . 2008-12-23 11:36 106496 ----a-w- c:\program files\Common Files\CPInstallAction.dll 2008-05-22 06:35 . 2008-05-22 06:35 51962 ----a-w- c:\program files\Common Files\banner.jpg 2007-06-12 07:34 . 2007-06-12 07:34 35822 ----a-w- c:\program files\Common Files\ASPG_icon.ico 2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1] @="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}" [HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}] 2007-06-01 15:08 143360 ----a-w- c:\program files\ASUS\ASUS Data Security Manager\ShlExt\x86\OverlayIconShlExt1.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys] @="FSFilter Activity Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend] @="Service" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{89E160C3-BABF-49A1-8CEE-B189FCCF5073}"= c:\program files\Skype\Phone\Skype.exe:Skype "{994523C1-2021-49DE-A342-F595A6399844}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync "{0C2806F4-69E5-4FB2-BC02-8C816E979B8D}"= UDP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour "{FA6D4CFA-5DDE-4954-B2EB-FAB4C45D784B}"= TCP:c:\program files\Bonjour\mDNSResponder.exe:Bonjour "{76B94052-8486-4A02-AEDE-58BED9B8EC95}"= c:\program files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector "{0CCF3C69-84D7-407D-9E3A-0780BB78F151}"= c:\program files\CyberLink\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD "{13F72BE5-1219-4947-B7B9-709E2C60B7DD}"= c:\program files\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe:Symantec Service Framework "{1B099D6F-1B74-4DB4-9033-98348FFACF1B}"= UDP:5353:Adobe CSI CS4 "{815DBF82-8AA8-4BDA-97C7-A9A1F7B3B85E}"= UDP:c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe:Adobe CSI CS4 "{7E5FCCAD-1C35-42A1-8CDE-125386566389}"= TCP:c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe:Adobe CSI CS4 "{79F52F5A-E6B3-46F0-AAAC-80236C0C7A09}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes "{AE3D2F09-ADEF-44F7-B8A8-815C16B43506}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile] "EnableFirewall"= 0 (0x0) R0 lullaby;lullaby;c:\windows\System32\drivers\lullaby.sys [31.07.2009 12:14 15416] R0 SymEFA;Symantec Extended File Attributes;c:\windows\System32\drivers\NIS\1005000.087\SymEFA.sys [01.08.2009 12:04 310320] R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\System32\drivers\NIS\1005000.087\BHDrvx86.sys [01.08.2009 12:04 258608] R1 ccHP;Symantec Hash Provider;c:\windows\System32\drivers\NIS\1005000.087\cchpx86.sys [01.08.2009 12:03 482352] R1 IDSVix86;IDSVix86;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090810.001\IDSvix86.sys [12.08.2009 04:22 293424] R2 Norton Internet Security;Norton Internet Security;c:\program files\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe [01.08.2009 12:03 115560] R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [16.08.2009 14:24 1153368] R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [31.07.2009 10:00 101936] R3 L1E;NDIS Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\System32\drivers\L1E60x86.sys [31.07.2009 12:08 48128] R3 SRS_PremiumSound_Service;SRS Labs Premium Sound;c:\windows\System32\drivers\SRS_PremiumSound_i386.sys [31.07.2009 12:20 230952] R3 SYMNDISV;Symantec Network Filter Driver;c:\windows\System32\drivers\NIS\1005000.087\symndisv.sys [01.08.2009 12:04 39984] R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\System32\drivers\viahduaa.sys [31.07.2009 12:06 984064] S2 gupdate1ca11d4c0f3da50;Google Update Service (gupdate1ca11d4c0f3da50);c:\program files\Google\Update\GoogleUpdate.exe [31.07.2009 13:47 133104] S3 CRFILTER;USB Mass Storage Filter;c:\windows\System32\drivers\CRFILTER.sys [07.04.2008 08:00 6656] S3 ETD;ELAN PS/2 Port Input Device;c:\windows\System32\drivers\ETD.sys [31.07.2009 12:22 140800] S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [31.07.2009 14:49 55280] S3 fsssvc;Windows Live Family Safety;c:\program files\Windows Live\Family Safety\fsssvc.exe [06.02.2009 18:08 533360] . Inhalt des "geplante Tasks" Ordners 2009-08-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-07-31 11:47] 2009-08-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2009-07-31 11:47] 2009-08-21 c:\windows\Tasks\User_Feed_Synchronization-{BB51562E-E818-4E28-995B-06C015D21A84}.job - c:\windows\system32\msfeedssync.exe [2008-01-21 02:24] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://google.de/ uInternet Settings,ProxyOverride = *.local DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab FF - ProfilePath - c:\users\sic\AppData\Roaming\Mozilla\Firefox\Profiles\9502pxtn.default\ FF - prefs.js: keyword.URL - hxxp://kwtb.search.imgag.com/?c=GNKIW29193&sbs=1&sc=2&f=web&vernum=1.0&uid=&did=f8d4a70c-98e2-4081-901d-01bf93043ede&q= FF - plugin: c:\program files\Google\Update\1.2.183.7\npGoogleOneClick8.dll FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll ---- FIREFOX Richtlinien ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_origin", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocomplete.enabled", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailnews.*.wholeText", "noAccess"); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quota", 5120); c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe_rate", 3); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp-redirect", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerPx", -1); c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_finger_input", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_run_time", 0); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072); c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.remember_cert_checkbox_default_setting", true); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr", "moz35"); c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-cjkt", "moz35"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.blocklist.level", 2); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.restrict.typed", "~"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.urlbar.default.behavior", 0); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.history", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.formdata", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.passwords", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.downloads", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cookies", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.cache", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.sessions", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.offlineApps", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.clearOnShutdown.siteSettings", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.history", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.formdata", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.passwords", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.downloads", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cookies", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.cache", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.sessions", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.offlineApps", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.cpd.siteSettings", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("privacy.sanitize.migrateFx3Prefs", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.ssl_override_behavior", 2); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("security.alternate_certificate_error_page", "certerror"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.autostart", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.privatebrowsing.dont_prompt_on_enter", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("geo.wifi.uri", "https://www.google.com/loc/json"); . ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Norton Internet Security] "ImagePath"="\"c:\program files\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files\Norton Internet Security\Engine\16.5.0.135\diMaster.dll\" /prefetch:1" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'Explorer.exe'(2856) c:\program files\ASUS\ASUS Data Security Manager\ShlExt\x86\OverlayIconShlExt.dll c:\program files\ASUS\ASUS Data Security Manager\ShlExt\x86\OverlayIconShlExt1.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\System32\audiodg.exe c:\program files\ASUS\ASUS Data Security Manager\ADSMSrv.exe c:\program files\ASUS\ATK Hotkey\AsLdrSrv.exe c:\windows\System32\wlanext.exe c:\program files\ATKGFNEX\GFNEXSrv.exe c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\CDBurnerXP\NMSAccessU.exe c:\program files\CyberLink\Shared Files\RichVideo.exe c:\windows\System32\rpcnet.exe c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe c:\program files\ASUS\NB Probe\SPM\spmgr.exe c:\program files\ASUS\ASUS CopyProtect\ASPG.exe c:\program files\ASUS\SmartLogon\sensorsrv.exe c:\program files\P4G\BatteryLife.exe c:\program files\ASUS\ATK Hotkey\MsgTranAgt.exe c:\program files\ASUS\ATK Hotkey\HControl.exe c:\program files\ASUS\Splendid\ACMON.exe c:\program files\ASUS\Wireless Console 3\wcourier.exe c:\program files\ASUS\ATK Hotkey\ATKOSD.exe c:\windows\System32\conime.exe c:\program files\ASUS\ATK Hotkey\KBFiltr.exe c:\program files\ASUS\ATK Hotkey\WDC.exe c:\windows\System32\ACEngSvr.exe c:\windows\System32\igfxsrvc.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-08-21 18:58 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-08-21 16:58 Vor Suchlauf: 7 Verzeichnis(se), 171.685.883.904 Bytes frei Nach Suchlauf: 7 Verzeichnis(se), 171.523.010.560 Bytes frei 364 --- E O F --- 2009-08-01 10:25 2009-08-21 16:52:16 . 2009-08-21 16:52:30 45,056 ----a-w- C:\Qoobox\Quarantine\C\Windows\System32\acovcnt.exe.vir 2009-08-21 16:47:41 . 2009-08-21 16:47:41 5,721 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg 2009-08-21 16:39:45 . 2009-08-21 16:41:43 62 ----a-w- C:\Qoobox\Quarantine\catchme.log 2009-08-01 12:46:57 . 2009-08-01 12:46:57 5,644,288 ----a-w- C:\Qoobox\Quarantine\C\Windows\Installer\2d438c.msi.vir |
|
|
14.02.2010, 21:10
Beitrag
#4
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
hallo,
könnte sich einer meiner bitte annehmen? Die ersten schritte einleiten ...ersten order geben was zu tun ist...denn bei problemen untätig rumsitzen ist nich so schön -kennt jeder denk ich;) danke im voraus. info: herbere probleme taten sich nach der istallation vom security task manager auf (er ließ sich selbst mit dem regul#ren task manager nicht schliessen) gefreezed ist der computer als ich mir 3 filme über nen semi-legalen movieportal gestreamt habe (kein peer2peer!). habe inzwischen versucht im abgesicherten modus per rstruit.exe funktion alles auf nen älteren werkspunkt zurückzusetzen... ohne erfolg. eher im gegenteil: beim hochfahren das gleiche bild, der pc kommt nich über die einlog-funktion hinaus. wenn ich ihn dann auf die rudimentäre art wieder runterfahre und im abgesicherten hiochfahre heisst es das der systemwiederherstellungspunkt beschädigt gewesen wäre. die dateien sind aber komischerweise alle verändert.heisst dateien die sich zu dem damaligen zeitpunkt des wiederherstellungspuntes zb aufm desktop befunden haben (ich habe heute meinen pc aufgeräumt&defrgmentiert-darum fällt mir das besonders auf) , sind wieder da. auch hatte ich zwischenzeitlich kein internet - gottseidank jetzt nach dem 3ten wiederherstellen wieder! |
|
|
14.02.2010, 22:59
Beitrag
#5
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Hallo,
mach mal genau das hier, AVZ Antiviral Toolkit - Anleitung ---> http://www.trojaner-board.de/79118-anleitu...al-toolkit.html Und Bitte genau an die Anleitung halten, und die ergebnisse hier posten. Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
15.02.2010, 10:16
Beitrag
#6
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Das ganze ist ein Fehlalarm. Du kannst Combofix ueber start/Ausfuehren und dort
combofix /u und enter druecken deinstallieren. -------------------- MfG Ralf
|
|
|
15.02.2010, 10:50
Beitrag
#7
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
hab gestern mein Laufwerk geprüft & per systemwiederherstellungspunkt nochmals (trotz der vorherigen 3fehlversuche ) versucht zurückzusetzen.
danach den pc hochgefahren und alles hat geklappt (einloggen im normale modus usw). Die Schrift hat sich aber komischerweise verändert... hab jetzt ne viel kleinere Schrift als vor dem Crash. Mein Pc hat auch immer noch immense einbußen bezgl der performance. fährt extrem langsam hoch, langsames öffnen v. programmen (firefox etc) ... Norton Internet Security ist verschwunden @raman: glaube wirklich nicht das es ein fehlalarm ist. habe per "combofix/u" versucht combofix zu deinstallieren- ich krieg nen pop up mit " combofix wurde nicht gefunden". wenn ich combofix aber in die suchleiste eingebe -wird es gefunden und erscheint auch dort (ich wage es aber nicht zu öffnen/sprich anzuklicken) @catweazle: yo werde ich alles gleich einrichten und dann über nacht laufen lassen. Ergebnis poste ich dann morgen. ABER noch ne Frage zum CCleaner: Seit einiger Zeit verhält der sich komisch... wenn ich "Analysiere" und danach bereinige, geht der von alleine aus. Erhalte also nicht mehr (so wie ich es in Erinnerung hatte, die Nachricht "soundsovielMB entfernt" . Der geht einfach aus. Muß dann nochmal CCleaner hochfahren um die registrys zu prüfen und bei bedarf zu säubern . Meine Frage: Soll ich den deinstallieren & mir neu downloaden? (glaube nämlich auch da steckt irgendwie der wurm drin) Könnte mir bei der Gelegenheit hier aber jemand evtl. nen Tip geben was ne gute KOSTENLOSE AntiVirus Lösung wäre? Hatte bisher Norton aber konnte mir das nicht leisten zu verlängern. Schonmal danke vorab für die Mühen ! Gruß |
|
|
Gast_ahora2010_* |
15.02.2010, 11:14
Beitrag
#8
|
Gäste |
Könnte mir bei der Gelegenheit hier aber jemand evtl. nen Tip geben was ne gute KOSTENLOSE AntiVirus Lösung wäre? Schonmal danke vorab für die Mühen ! Gruß die kombi comodo firewall mit defence+ (gratis) mit avast 5 free läuft super, hatte ich bis letzte woche drauf. . zudem gibt es viele aktionen im internet , wo du security suites gratis für monate bekommen kannst, so zb f-secure 2010 , ebenso sehr zu empfehlen siehe hier: http://www.f-secure-estore.de/url.php?cnt=chip oder mc afee , eset u.vm mehr auch gibt es norton aktionen... |
|
|
15.02.2010, 11:25
Beitrag
#9
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Glaub mir, die Meldung ist ein Fehlalarm. Sofern du die Datei noch hast, kopiere c:\users\sic\downloads\combofix.exe auf den Dektop und mache erneut ein combofix /u
Catchme ist ein Rootkitscanner, den Combofix nutzt. -------------------- MfG Ralf
|
|
|
15.02.2010, 16:25
Beitrag
#10
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
@ahora:
tja zuuu spääät-mist ! hatte mich hier im forum umgeschaut und nen thread gefunden wo über den besten kostenlosen virenscanner diskutiert wurde. AVAST VS AVIRA. Hab mich dann am Ende für Avira entschieden @raman hmmm wie auch immer -irgendwas stimmt hier jedenfalls nicht. obs jetzt an den beiden (vermeintlich) infizierten combofix dateien liegt oder woanders der wurm drin steckt..weiß ich nicht-hauptsache am ende finden wir den übeltäter Frage mich bloß warum panda...&auch virustotal es auch so anzeigt das die nich ganz koscher sind. darum werd ich erstmal nix deinstallieren. Ich werd das heute abend mal mit dem AVZ Scan machen. Hier aber mal nen Hijackthis log den ich grad durchlaufen lassen hab... CODE Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:17:56, on 15.02.2010 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18882) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\ASUS\ASUS Live Update\ALU.exe C:\Program files\P4G\BatteryLife.exe C:\Program Files\ASUS\SmartLogon\sensorsrv.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Windows\system32\igfxsrvc.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Windows\system32\wbem\unsecapp.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\iTunes\iTunes.exe C:\Program Files\Last.fm\LastFM.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4 O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.33.0\gears.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Program Files\Buyertools Reminder\ReminderIE.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe (file missing) O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/...can8/oscan8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{56FB059E-49F3-4CFD-A117-DC47D0BC215F}: NameServer = 213.191.92.86 62.109.123.6 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: ADSM Service (ADSMService) - ASUSTek Computer Inc. - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files\avmwlanstick\WlanNetService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: BroadCam Video Streaming Server (BroadCamService) - Unknown owner - C:\Program Files\NCH Software\BroadCam\broadcam.exe (file missing) O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe O23 - Service: Google Update Service (gupdate1ca11d4c0f3da50) (gupdate1ca11d4c0f3da50) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: Remote Procedure Call (RPC) Net (rpcnet) - Absolute Software Corp. - C:\Windows\system32\rpcnet.exe O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe -- End of file - 8191 bytes |
|
|
15.02.2010, 16:31
Beitrag
#11
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
hab grad nochmal geguckt um sicher zu sein....
wundere mich das der prozess csrss.exe nicht oben im hjtlog auftaucht. auch der skypePM geht mir langsam aufn senkel. hab den schon wie per anleitung von skype deinstalliert... auch alle ordner gelöscht ...und der taucht trotzdem wieder auf! |
|
|
Gast_ahora2010_* |
15.02.2010, 18:44
Beitrag
#12
|
Gäste |
wieso zu spät, du kannst doch immer noch f-secure o.ä nehmen, hast doch für avira nix bezahlt.
|
|
|
16.02.2010, 15:02
Beitrag
#13
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
Hallo!
Ich hab Blödsinn gebaut Hab die AVZ Anleitung bis Punkt 6 abgearbeitet aber dann das Häkchen nich wie laut Punkt 7 beschrieben bei 2 sondern bei 3 (advanced ....malware removal enabled) gesetzt und das skript ausgeführt Is mir dann heut Mittag aufgefallen und hab den Vorgang gestoppt. Da kam auch einiges bei raus (Keylogger etc) . Was soll ich jetzt tun bzw kann ich den Vorgang einfach nochmal wiederholen, aber diesmal halt richtig ? Und wielange dauert der Scan denn eigentlich ...als ich den abgebrochen hab waren fast 10std um!!!! Der Beitrag wurde von belikewater bearbeitet: 16.02.2010, 15:02 |
|
|
16.02.2010, 15:17
Beitrag
#14
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Da weiß ich jetzt, selber keinen Rat.
Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
16.02.2010, 16:14
Beitrag
#15
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.608 Mitglied seit: 30.12.2005 Mitglieds-Nr.: 4.133 Betriebssystem: Windows 10 64bit Virenscanner: KAV |
Hallo! Ich hab Blödsinn gebaut Hab die AVZ Anleitung bis Punkt 6 abgearbeitet aber dann das Häkchen nich wie laut Punkt 7 beschrieben bei 2 sondern bei 3 (advanced ....malware removal enabled) gesetzt und das skript ausgeführt Is mir dann heut Mittag aufgefallen und hab den Vorgang gestoppt. Da kam auch einiges bei raus (Keylogger etc) . Was soll ich jetzt tun bzw kann ich den Vorgang einfach nochmal wiederholen, aber diesmal halt richtig ? Und wielange dauert der Scan denn eigentlich ...als ich den abgebrochen hab waren fast 10std um!!!! 10 stunden-hmmmmmm, wie lange brauchst du, den pc neu aufzusetzen? |
|
|
16.02.2010, 18:24
Beitrag
#16
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
mit gegenfragen dieser art is mir nich geholfen.
aber vielleicht hättest du ja ne antwort auf meine erste frage bezgl. des "nochmal-scannens" ...? Der Beitrag wurde von belikewater bearbeitet: 16.02.2010, 18:24 |
|
|
16.02.2010, 18:41
Beitrag
#17
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.608 Mitglied seit: 30.12.2005 Mitglieds-Nr.: 4.133 Betriebssystem: Windows 10 64bit Virenscanner: KAV |
mit gegenfragen dieser art is mir nich geholfen. aber vielleicht hättest du ja ne antwort auf meine erste frage bezgl. des "nochmal-scannens" ...? antwort auf diese frage habe ich keine. ich meine damit, dass ICH nicht solche fisematenten machen würde. neu machen ist meiner meinung!! nach der einfachere weg. |
|
|
16.02.2010, 19:21
Beitrag
#18
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Das kommt, drauf an wie viele Dateien, oder wie "voll" dein Rechner, und wie schnell er ist würde ich jetz mal so ins Blaue tippen...
Vielleicht mal mit crapcleaner ein bischen aufreumen, CCleaner Systembereinigung ---> http://www.trojaner-board.de/51464-anleitung-ccleaner.html Oder mal GMER laufen lassen, dauer hoffentlich nicht so lange. GMER - Rootkit Scanner ---> http://www.trojaner-board.de/74908-anleitu...it-scanner.html Bitte genau an die Anleitung halten. Ctweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
16.02.2010, 20:41
Beitrag
#19
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
also CCleaner hab ich doch gemacht.
hab ich vorher deinstalliert, weil wie obern beschrieben das verhalten sehr komisch war (wurde ja auch dann bestätigt als ich es gestern neuinstalliert hatte& den säuberungsvorgang gemacht hatte... warum weshalb ccleaner vorher so agiert hat // eprogramm schliesst sich von selbst nach der säuberung ohne anzuzeigen was&wieviel gesäubert wurde// weiß ich natürlich nich...) hab jedenfalls temporäre daiteien sowie die registry gesäubert. hm mein rechner fasst 300gb davon sind 80 noch frei. und ja...werds mal mit gmer über nacht versuchen (obwohl AVZ wirlich sehr solide erscheint...die ergebnisse waren jedenfalls schonmal ernüchternd). Der Beitrag wurde von belikewater bearbeitet: 16.02.2010, 20:42 |
|
|
16.02.2010, 21:59
Beitrag
#20
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Also die GMER Geschichte dauert, wahrscheinlich nur 5, 10 15 Minuten länger darf das nicht dauern...
Ist meine Meinung, wen ich daneben liege, sollen mich andere berichtigen. Und das mit dem AVZ Tool würde Ich noch mal versuchen, wen du den Computer nicht brauchen tuhst, hast du noch einen anderen ? Aber erst mal nach einer GMER überprüfung, Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
17.02.2010, 01:17
Beitrag
#21
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
|
|
|
20.02.2010, 04:15
Beitrag
#22
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
habs nochmal mit avz versucht..aber krieg beim updateversuch folgende fehlermeldung
Automatic update error: error loading control file avzupd.zip from http;//www.z-oleg.com/secur/avz_up/(21,00002EFD) . hab den ordner AVZ dann gelöscht und nochmal alles wiederholt...ccleaner etc ... hab die gleiche fehlermeldung aber wieder gekriegt. |
|
|
20.02.2010, 15:11
Beitrag
#23
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
okay letzter post meinerseits hier... wenn dann keine reaktion kommt, kann der post auch geschlossen werden.
hab gestern trotz fehler im update nochmal den avz scan laufen lassen. mit dem gleichen ergebnis- nach mehr als 9std scan keine ende in sicht. ich möcht an der stelle auch mal sagen, das die bechreibung auf dem trojaner board sehr schwammig is. hatte letztes mal doch nichts falsch gemacht... dachte es nur . sollte besser gekennzeichnet sein wann nen scan anfängt ... wenn schon oben drüber dick steht das man nicht auf scannen drücken soll...und während des scans nichts am rechner tun soll. wenn man nämlich programme aufhat...und auch ne internetverbindung stehen hat während man die angeblichen vorarbeiten erledigt... aber dann auf execute script klickt (nich jeder weiß das es mit scannen gleichzusetzen ist!) dann hat man den schlamassel. jedenfalls... hab ich dann auf stop geklickt weil es wie letztes mal (während der scan bei anwendungsdaten war) nicht weiterlief. er hat so einiges gefunden und ich habe in voraussicht das mir hier e wieder keiner helfen wird die sachen in die quarantäne verschoben (keine lust auf nochmal 10std scan und am ende für umsonst). der log is hier: CODE Attention !!! Database was last updated 21.08.2009 it is necessary to update the database (via File - Database update) AVZ Antiviral Toolkit log; AVZ version is 4.32 Scanning started at 20.02.2010 04:17:32 Database loaded: signatures - 237871, NN profile(s) - 2, malware removal microprograms - 56, signature database released 21.08.2009 14:23 Heuristic microprograms loaded: 374 PVS microprograms loaded: 9 Digital signatures of system files loaded: 135524 Heuristic analyzer mode: Medium heuristics mode Malware removal mode: enabled Windows version is: 6.0.6002, Service Pack 2 ; AVZ is run with administrator rights System Restore: enabled 1. Searching for Rootkits and other software intercepting API functions 1.1 Searching for user-mode API hooks Analysis: kernel32.dll, export table found in section .text Function kernel32.dll:CopyFileA (99) intercepted, method - APICodeHijack.JmpTo[10001B66] >>> Rootkit code in function CopyFileA blocked Function kernel32.dll:CopyFileExA (100) intercepted, method - APICodeHijack.JmpTo[10001BA6] >>> Rootkit code in function CopyFileExA blocked Function kernel32.dll:CopyFileExW (101) intercepted, method - APICodeHijack.JmpTo[10001BC6] >>> Rootkit code in function CopyFileExW blocked Function kernel32.dll:CopyFileW (104) intercepted, method - APICodeHijack.JmpTo[10001B86] >>> Rootkit code in function CopyFileW blocked Function kernel32.dll:CreateFileA (123) intercepted, method - APICodeHijack.JmpTo[10001B26] >>> Rootkit code in function CreateFileA blocked Function kernel32.dll:CreateFileW (130) intercepted, method - APICodeHijack.JmpTo[10001B46] >>> Rootkit code in function CreateFileW blocked Function kernel32.dll:CreateProcessA (151) intercepted, method - APICodeHijack.JmpTo[10001A46] >>> Rootkit code in function CreateProcessA blocked Function kernel32.dll:CreateProcessW (154) intercepted, method - APICodeHijack.JmpTo[10001A66] >>> Rootkit code in function CreateProcessW blocked Function kernel32.dll:DeleteFileA (195) intercepted, method - APICodeHijack.JmpTo[10001CA6] >>> Rootkit code in function DeleteFileA blocked Function kernel32.dll:DeleteFileW (198) intercepted, method - APICodeHijack.JmpTo[10001CC6] >>> Rootkit code in function DeleteFileW blocked Function kernel32.dll:GetModuleHandleA (505) intercepted, method - APICodeHijack.JmpTo[10001CE6] >>> Rootkit code in function GetModuleHandleA blocked Function kernel32.dll:GetModuleHandleW (508) intercepted, method - APICodeHijack.JmpTo[10001D06] >>> Rootkit code in function GetModuleHandleW blocked Function kernel32.dll:GetProcAddress (548) intercepted, method - APICodeHijack.JmpTo[10001A86] >>> Rootkit code in function GetProcAddress blocked Function kernel32.dll:LoadLibraryA (759) intercepted, method - APICodeHijack.JmpTo[10001D26] >>> Rootkit code in function LoadLibraryA blocked Function kernel32.dll:LoadLibraryExA (760) intercepted, method - APICodeHijack.JmpTo[10001AC6] >>> Rootkit code in function LoadLibraryExA blocked Function kernel32.dll:LoadLibraryExW (761) intercepted, method - APICodeHijack.JmpTo[10001AE6] >>> Rootkit code in function LoadLibraryExW blocked Function kernel32.dll:LoadLibraryW (762) intercepted, method - APICodeHijack.JmpTo[10001D46] >>> Rootkit code in function LoadLibraryW blocked Function kernel32.dll:LoadModule (763) intercepted, method - APICodeHijack.JmpTo[10001AA6] >>> Rootkit code in function LoadModule blocked Function kernel32.dll:MoveFileA (791) intercepted, method - APICodeHijack.JmpTo[10001BE6] >>> Rootkit code in function MoveFileA blocked Function kernel32.dll:MoveFileExA (792) intercepted, method - APICodeHijack.JmpTo[10001C26] >>> Rootkit code in function MoveFileExA blocked Function kernel32.dll:MoveFileExW (793) intercepted, method - APICodeHijack.JmpTo[10001C46] >>> Rootkit code in function MoveFileExW blocked Function kernel32.dll:MoveFileW (796) intercepted, method - APICodeHijack.JmpTo[10001C06] >>> Rootkit code in function MoveFileW blocked Function kernel32.dll:MoveFileWithProgressA (797) intercepted, method - APICodeHijack.JmpTo[10001C66] >>> Rootkit code in function MoveFileWithProgressA blocked Function kernel32.dll:MoveFileWithProgressW (798) intercepted, method - APICodeHijack.JmpTo[10001C86] >>> Rootkit code in function MoveFileWithProgressW blocked Function kernel32.dll:OpenFile (815) intercepted, method - APICodeHijack.JmpTo[10001B06] >>> Rootkit code in function OpenFile blocked Function kernel32.dll:WinExec (1159) intercepted, method - APICodeHijack.JmpTo[10001D66] >>> Rootkit code in function WinExec blocked Analysis: ntdll.dll, export table found in section .text Function ntdll.dll:LdrGetProcedureAddress (115) intercepted, method - APICodeHijack.JmpTo[100019E6] >>> Rootkit code in function LdrGetProcedureAddress blocked Function ntdll.dll:LdrLoadDll (122) intercepted, method - APICodeHijack.JmpTo[10004546] >>> Rootkit code in function LdrLoadDll blocked Function ntdll.dll:LdrUnloadDll (144) intercepted, method - APICodeHijack.JmpTo[100081D6] >>> Rootkit code in function LdrUnloadDll blocked Function ntdll.dll:NtAllocateVirtualMemory (180) intercepted, method - APICodeHijack.JmpTo[10001946] >>> Rootkit code in function NtAllocateVirtualMemory blocked Function ntdll.dll:NtClose (212) intercepted, method - APICodeHijack.JmpTo[100082A6] >>> Rootkit code in function NtClose blocked Function ntdll.dll:NtCreateFile (228) intercepted, method - APICodeHijack.JmpTo[100018C6] >>> Rootkit code in function NtCreateFile blocked Function ntdll.dll:NtCreateProcess (241) intercepted, method - APICodeHijack.JmpTo[10001886] >>> Rootkit code in function NtCreateProcess blocked Function ntdll.dll:NtCreateUserProcess (254) intercepted, method - APICodeHijack.JmpTo[10007036] >>> Rootkit code in function NtCreateUserProcess blocked Function ntdll.dll:NtDeleteFile (264) intercepted, method - APICodeHijack.JmpTo[10001906] >>> Rootkit code in function NtDeleteFile blocked Function ntdll.dll:NtFreeVirtualMemory (290) intercepted, method - APICodeHijack.JmpTo[10001A26] >>> Rootkit code in function NtFreeVirtualMemory blocked Function ntdll.dll:NtLoadDriver (315) intercepted, method - APICodeHijack.JmpTo[10001966] >>> Rootkit code in function NtLoadDriver blocked Function ntdll.dll:NtOpenFile (338) intercepted, method - APICodeHijack.JmpTo[100018E6] >>> Rootkit code in function NtOpenFile blocked Function ntdll.dll:NtProtectVirtualMemory (372) intercepted, method - APICodeHijack.JmpTo[10001926] >>> Rootkit code in function NtProtectVirtualMemory blocked Function ntdll.dll:NtSetInformationProcess (489) intercepted, method - APICodeHijack.JmpTo[100019C6] >>> Rootkit code in function NtSetInformationProcess blocked Function ntdll.dll:NtUnloadDriver (532) intercepted, method - APICodeHijack.JmpTo[10001986] >>> Rootkit code in function NtUnloadDriver blocked Function ntdll.dll:NtWriteVirtualMemory (552) intercepted, method - APICodeHijack.JmpTo[100018A6] >>> Rootkit code in function NtWriteVirtualMemory blocked Function ntdll.dll:RtlAllocateHeap (597) intercepted, method - APICodeHijack.JmpTo[10001A06] >>> Rootkit code in function RtlAllocateHeap blocked Analysis: user32.dll, export table found in section .text Function user32.dll:EndTask (2215) intercepted, method - APICodeHijack.JmpTo[10007E76] >>> Rootkit code in function EndTask blocked Analysis: advapi32.dll, export table found in section .text Function advapi32.dll:CreateServiceA (126) intercepted, method - APICodeHijack.JmpTo[10000FF6] >>> Rootkit code in function CreateServiceA blocked Function advapi32.dll:CreateServiceW (127) intercepted, method - APICodeHijack.JmpTo[10001246] >>> Rootkit code in function CreateServiceW blocked Function advapi32.dll:OpenServiceA (501) intercepted, method - APICodeHijack.JmpTo[10001636] >>> Rootkit code in function OpenServiceA blocked Function advapi32.dll:OpenServiceW (502) intercepted, method - APICodeHijack.JmpTo[10001476] >>> Rootkit code in function OpenServiceW blocked Analysis: ws2_32.dll, export table found in section .text Function ws2_32.dll:WSASocketA (99) intercepted, method - APICodeHijack.JmpTo[10001E66] >>> Rootkit code in function WSASocketA blocked Function ws2_32.dll:WSASocketW (100) intercepted, method - APICodeHijack.JmpTo[10001E86] >>> Rootkit code in function WSASocketW blocked Analysis: wininet.dll, export table found in section .text Function wininet.dll:InternetConnectA (231) intercepted, method - APICodeHijack.JmpTo[10001E26] >>> Rootkit code in function InternetConnectA blocked Function wininet.dll:InternetConnectW (232) intercepted, method - APICodeHijack.JmpTo[10001E46] >>> Rootkit code in function InternetConnectW blocked Analysis: rasapi32.dll, export table found in section .text Analysis: urlmon.dll, export table found in section .text Function urlmon.dll:URLDownloadToCacheFileA (216) intercepted, method - APICodeHijack.JmpTo[10001EE6] >>> Rootkit code in function URLDownloadToCacheFileA blocked Function urlmon.dll:URLDownloadToCacheFileW (217) intercepted, method - APICodeHijack.JmpTo[10001F06] >>> Rootkit code in function URLDownloadToCacheFileW blocked Function urlmon.dll:URLDownloadToFileA (218) intercepted, method - APICodeHijack.JmpTo[10001EA6] >>> Rootkit code in function URLDownloadToFileA blocked Function urlmon.dll:URLDownloadToFileW (219) intercepted, method - APICodeHijack.JmpTo[10001EC6] >>> Rootkit code in function URLDownloadToFileW blocked Analysis: netapi32.dll, export table found in section .text 1.2 Searching for kernel-mode API hooks Driver loaded successfully SDT found (RVA=137B00) Kernel ntkrnlpa.exe found in memory at address 81E04000 SDT = 81F3BB00 KiST = 81EB084C (391) Function NtAdjustPrivilegesToken (0C) intercepted (81FF426F->90213F8E), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtAlpcConnectPort (15) intercepted (81FEE4B2->90214F5C), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtAlpcCreatePort (16) intercepted (81FBE91F->90214174), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtConnectPort (36) intercepted (81FD1AA7->902133FA), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtCreateFile (3C) intercepted (82045D59->90213BF4), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtCreatePort (47) intercepted (81F89A40->902132DC), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtCreateSection (4B) intercepted (82035803->90213A82), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtCreateSymbolicLinkObject (4D) intercepted (81FC4306->90214C16), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtCreateThread (4E) intercepted (82095580->8A5F46EC), hook not defined >>> Function restored successfully ! >>> Hook code blocked Function NtDuplicateObject (81) intercepted (81FFC16E->90212CD4), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtLoadDriver (A5) intercepted (81F6FDF0->90214898), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtMakeTemporaryObject (AE) intercepted (81FDB366->9021367E), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtOpenFile (BA) intercepted (82009F9F->90213DD0), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtOpenProcess (C2) intercepted (82024B58->8A5F46D8), hook not defined >>> Function restored successfully ! >>> Hook code blocked Function NtOpenSection (C5) intercepted (8201521F->9021390E), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtOpenThread (C9) intercepted (820200AA->90212B7C), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtRequestWaitReplyPort (114) intercepted (820479AE->902153C6), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtSecureConnectPort (11E) intercepted (81FD1680->90214634), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtSetSystemInformation (13D) intercepted (81FEAB16->90214A46), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtShutdownSystem (146) intercepted (820B6AA5->90213618), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtSystemDebugControl (14C) intercepted (81FFCADE->90213802), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtTerminateProcess (14E) intercepted (81FF4D60->902131A6), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtTerminateThread (14F) intercepted (820200DF->90213074), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Function NtCreateThreadEx (17E) intercepted (8201FB94->90214280), hook C:\Windows\System32\DRIVERS\cmdguard.sys >>> Function restored successfully ! >>> Hook code blocked Functions checked: 391, intercepted: 24, restored: 24 1.3 Checking IDT and SYSENTER Analyzing CPU 1 Analyzing CPU 2 CmpCallCallBacks = 00000000 Checking IDT and SYSENTER - complete 1.4 Searching for masking processes and drivers Checking not performed: extended monitoring driver (AVZPM) is not installed Driver loaded successfully 1.5 Checking IRP handlers Checking - complete 2. Scanning RAM Number of processes found: 73 Number of modules loaded: 570 Scanning RAM - complete 3. Scanning disks 4. Checking Winsock Layered Service Provider (SPI/LSP) LSP settings checked. No errors detected 5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs) C:\Windows\system32\guard32.dll --> Suspicion for Keylogger or Trojan DLL C:\Windows\system32\guard32.dll>>> Behaviour analysis Behaviour typical for keyloggers was not detected File quarantined succesfully (C:\Windows\system32\guard32.dll) Note: Do NOT delete suspicious files, send them for analysis (see FAQ for more details), because there are lots of useful hooking DLLs 6. Searching for opened TCP/UDP ports used by malicious software Checking - disabled by user 7. Heuristic system check Checking - complete 8. Searching for vulnerabilities Checking - complete 9. Troubleshooting wizard Checking - complete Files scanned: 1072589, extracted from archives: 174964, malicious software found 0, suspicions - 0 Scanning finished at 20.02.2010 13:20:37 !!! Attention !!! Restored 24 KiST functions during Anti-Rootkit operation This may affect execution of certain software, so it is strongly recommended to reboot Time of scanning: 09:03:08 If you have a suspicion on presence of viruses or questions on the suspected objects, you can address http://virusinfo.info conference Scanning - interrupted by user File quarantined succesfully (C:\Windows\System32\DRIVERS\cmdguard.sys) ein TEIL meiner probleme /auffälligkeiten ist hier: sehr langsames hochfahren ( 2minuten trotz deaktivierung aller programme ausser comodo,adobe& avira) kein (at) zeichen machen können...ausser ich schalte die firewall aus nicht copy&taste vorgang machen können...ausser firewall wird ausgeschaltet alle 2-3 tage vorkommnis das der mauszeiger nicht mehr kontrollierbar ist- (keine maus keine infrarot maus touchpad) ccleaner auffälligkeiten auch nach neuinstallation --> sagt 290kb zu löschen... löscht dann aber 30mb zb ...oder anersrum sagt 30mb zu löschen aber löscht dann nur 3mb (firefox ist aus) oder 0kb zu löschen...analysierungsvorgang mehrmals ...dann auf einmal 2,3gb !!!! als norton noch da war... probleme beim scan... normaler durchlauf max 90min ---- teilweise 5-6 std gescannt und kein ende in sicht bleibt hängen bekannte mit nen ich über messenger etc kontakt habe kriegen auch probleme mit ihren pcs (crashs) prozesse aktivieren sich immer wieder selber (skypepm.exe ---- dies sogar komplett deinstalliert) ... ALU.exe (updater von asus) ... kann ich abstellen etc ... kommt immer wieder. comodo meldet auch das Alu immer auf irgendwas im internet zugreifen will unzählig viele prozesse am laufen obwohl der pc garnich beansprucht wird...viele prozesse mind. doppelt bis zu 10 prozesse gleichen types (explorer , crss.exe, teilweise 15 svchost prozesse obwohl nur skype ,comodo&avira,firefox 1fenster/3abs, itunes auf) langsames öffnen von firefox (entgegen benutzerkonto-keins dieser probleme!) überall werbung... manchmal einfach als pop up und sehr auffällig weil verdeckt den bildschirm oder als mehr oder minder geschickt gesetzt ins seitenlayout (fällt trotzdem auf weil meist sehr simpel gestrickt...farbquali //wenn farbe//sehr blass...ansonsten viel blinkblink) passwörter geklaut curser springt beims schreiben immer in andere zeilen danke im voraus. |
|
|
20.02.2010, 15:12
Beitrag
#24
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 45 Mitglied seit: 21.08.2009 Wohnort: Bremen Mitglieds-Nr.: 7.687 Betriebssystem: windows vista Virenscanner: Avira Firewall: Comodo |
evtl mal nen hijackthislog?
Ps: achja...ich kann den rechner nicht neu aufsetzen... weil mein asus notebook die asus-typische macke hat das der keine dvds brennt. 150gb daten auf cdr brennen..naja... ich weiß ja nicht ob das nich ein wenig zuviel syphosos is. eine externe festplatte kann ich mir in naher zukunft nicht leisten. Der Beitrag wurde von belikewater bearbeitet: 20.02.2010, 15:16 |
|
|
21.02.2010, 00:31
Beitrag
#25
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Hallo, ich weiß jetzt nicht wirklich warum sich kein experte um dich kümmern tut !
Ich bin keiner. Versuche mal das hier bei dir, Malwarebytes' Anti-Malware 1.44 ..... http://fileforum.betanews.com/detail/Malwa...re/1186760019/1 aber starte mal das so http://forums.malwarebytes.org/index.php?showtopic=3228 Bist du fit im Englischen ? Dan poste dein ergebnis auch mal dort, eintragen, un dort weiter nachfragen. Und auch hier mal den Report posten.... Oder das auch nutzen, http://www.emsisoft.de/de/software/antimalware/ Catwweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
Gast_J4U_* |
21.02.2010, 17:22
Beitrag
#26
|
Gäste |
eine externe festplatte kann ich mir in naher zukunft nicht leisten. Was machst Du, wenn die interne Festplatte ihr Leben aushaucht? Verwendbare 500 GB - USB-Platten gibt es ab ca. 70,-€, meiner Meinung nach eine äusserst wichtige Investition. HJT-Log kannst Du posten, es wird zumindest nicht schaden. J4U |
|
|
22.02.2010, 20:42
Beitrag
#27
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Hallo, willst nun weiter reparieren, oder was hast noch gemacht ?
Versuche mal da ran zu kommen, http://www.heise.de/newsticker/meldung/c-t...del-755593.html ich glaube da mußt du das mal nachbestellen, es ist eine DVD. Oder mal die gängigen Computerzeitschriften mal angucken da wird so was immer wieder mal angeboten. Oder das hier http://scareware.de/2010/01/kaspersky-resc...k-antivirus-cd/ F-Secure Rescue CD 3.11, http://www.wintotal.de/softwarearchiv/?id=4706 Bei diese Teil würde ich aufpassen ich weiß nicht wie viele Fehlarlarme da produziert werden, den wen das Teil was finden tut, wird die Datei nur unbenannt. Avira, hat glaube ich auch so was im Programm. Hast die Qual der wahl. Das erstellen solch einer Cd, nur von eimem sauberen System. Oder hast du neu aufgesetzt ? Catweazle Der Beitrag wurde von Catweazle bearbeitet: 22.02.2010, 21:52 -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
28.02.2010, 21:17
Beitrag
#28
|
|
Salmei, Dalmei, Adonei Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 |
Da werden wir hier wol keine Antwort bekommen
Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.05.2024, 18:51 |