|
Log-Analyse und Auswertung: HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum AufzeichnungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.07.2012, 12:57 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum Aufzeichnung Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________ Logfiles bitte immer in CODE-Tags posten |
03.07.2012, 21:26 | #17 |
| HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum Aufzeichnung Hier GMER-log, Rest folgt:
__________________[code] GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2012-07-03 22:14:25 Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD80 rev.04.0 Running: t2jxdqj6.exe; Driver: C:\DOKUME~1\Chris\LOKALE~1\Temp\fwlyapog.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwAdjustPrivilegesToken [0xA8096FBA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwClose [0xA80978B4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwConnectPort [0xA80B0AEE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateEvent [0xA8097E26] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateMutant [0xA8097D14] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreatePort [0xA80B0E06] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateProcess [0xA8098056] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateProcessEx [0xA809821E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSection [0xA8096D76] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSemaphore [0xA8097F3E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateThread [0xA80975E6] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateWaitablePort [0xA80B0ECE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDebugActiveProcess [0xA809853C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeleteKey [0xA80AB084] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeleteValueKey [0xA80AC88E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeviceIoControlFile [0xA80978F6] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDuplicateObject [0xA809953C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateKey [0xA80AC088] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateValueKey [0xA80ACA38] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadDriver [0xA809862E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadKey [0xA80ABBC0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadKey2 [0xA80ABE1C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwMapViewOfSection [0xA8098B9A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwNotifyChangeKey [0xA80AF30A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenEvent [0xA8097EB8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenMutant [0xA8097DA0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenProcess [0xA80971F4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenSection [0xA809897E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenSemaphore [0xA8097FD0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenThread [0xA80970E8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryKey [0xA80AAEB8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryMultipleValueKey [0xA80AC698] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryObject [0xA80AF500] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQuerySection [0xA8098EC0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryValueKey [0xA80AC488] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueueApcThread [0xA80987CE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRenameKey [0xA80AB198] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplaceKey [0xA80AB80C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplyPort [0xA80B1048] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplyWaitReceivePort [0xA80B0F96] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRequestWaitReplyPort [0xA80B10B4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRestoreKey [0xA80ABA14] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwResumeThread [0xA80993DE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSaveKey [0xA80AB33E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSaveKeyEx [0xA80AB4D4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSaveMergedKeys [0xA80AB670] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSecureConnectPort [0xA80B0C76] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetContextThread [0xA8097756] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetInformationToken [0xA80983E8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetSystemInformation [0xA8099010] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetValueKey [0xA80AC248] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSuspendProcess [0xA8099104] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSuspendThread [0xA809923E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSystemDebugControl [0xA809845E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwTerminateProcess [0xA8097392] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwTerminateThread [0xA80972EA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwUnmapViewOfSection [0xA8098D78] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwWriteVirtualMemory [0xA809747C] Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) FsRtlCheckLockForReadAccess Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) IoIsOperationSynchronous ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF84 5 Bytes JMP A80899F0 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) .text ntkrnlpa.exe!IoIsOperationSynchronous 804EF92C 5 Bytes JMP A8089DCC \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) .text ntkrnlpa.exe!ZwCallbackReturn + 2C94 8050454C 12 Bytes [06, 0E, 0B, A8, 56, 80, 09, ...] {PUSH ES; PUSH CS; OR EBP, [EAX-0x57f67faa]; PUSH DS; OR BYTE [ECX], -0x58} .text ntkrnlpa.exe!ZwCallbackReturn + 2D60 80504618 12 Bytes [2E, 86, 09, A8, C0, BB, 0A, ...] .text ntkrnlpa.exe!ZwCallbackReturn + 2DDC 80504694 4 Bytes CALL C4F85009 .text ntkrnlpa.exe!ZwCallbackReturn + 2EDC 80504794 16 Bytes [98, B1, 0A, A8, 0C, B8, 0A, ...] {CWDE ; MOV CL, 0xa; TEST AL, 0xc; MOV EAX, 0x1048a80a; OR EBP, [EAX-0x57f4f06a]} .text ntkrnlpa.exe!ZwCallbackReturn + 2F14 805047CC 20 Bytes [DE, 93, 09, A8, 3E, B3, 0A, ...] .text ... ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [F6FBFDC0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [F6FBFDC0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SOFTWARE\Classes\CLSID\{B6A930A0-A4F5-43A5-9B4E-6189A6C2B9E8}@y!s!\24!r!s!`!\30!y!\24!\24!t!\30!c!y!s!d! 19583823 ---- EOF - GMER 1.0.15 ---- Jetzt - zu Osam - da ist mir aufgefallen, dass die Angaben von Dir verschieden waren zu denen im Osam-Info-Fenster des T.Boards. DU schreibst: ohne Virenscanner. Im angegebenen Link wird gesagt: mit Virenscanner. Ich hab es nun ohne und online gemacht. Deine Angabe "Online Abfrage überspringen" konnte ich nicht sicher deuten. Ich habe beim Öffnen der exe nur die Angabe "Online-Scannen" gesehen und habe nun zwei Versionen: Das 1.x nach "Online-Scannen" auf "cancel" geklickt- da war es gleich alles vorbei - 1. log-file erstellt. Das 2.x auf next, bis das 2. Fenster aufging. Danach den 2. log-file erstellt. Hier die Osam-logs, danach führe ich aswMBR aus. Ich wüßte ja gerne, welche Dinge ich jeweils falsch oder richtig gemacht habe. Es ist generell völlig merkwürdig für mich, über Tage Anweisungen zu befolgen, die ich überhaupt nicht nachvollziehen kann ... Also, hier nun zu Osam: 1. OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 22:37:30 on 03.07.2012 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 13.0.1 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe "GoogleUpdateTaskUserS-1-5-21-3134294254-2874434923-681666218-1007Core.job" - "Google Inc." - C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskUserS-1-5-21-3134294254-2874434923-681666218-1007UA.job" - "Google Inc." - C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "Ddbaccpl.cpl" - "DataDesign AG" - C:\WINDOWS\system32\Ddbaccpl.cpl "ddBACCTM.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddBACCTM.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "catchme" (catchme) - ? - C:\ComboFix\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "fwlyapog" (fwlyapog) - ? - C:\DOKUME~1\xxx\LOKALE~1\Temp\fwlyapog.sys (Hidden registry entry, rootkit activity | File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "Sony Ericsson Device 039 Driver driver (WDM)" (SE27bus) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE27bus.sys "Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS)" (se27nd5) - "MCCI" - C:\WINDOWS\System32\DRIVERS\se27nd5.sys "Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM)" (se27unic) - "MCCI" - C:\WINDOWS\System32\DRIVERS\se27unic.sys "Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM)" (SE27mgmt) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE27mgmt.sys "Sony Ericsson Device 039 USB WMC Modem Driver" (SE27mdm) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE27mdm.sys "Sony Ericsson Device 039 USB WMC Modem Filter" (SE27mdfl) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE27mdfl.sys "Sony Ericsson Device 039 USB WMC OBEX Interface" (SE27obex) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE27obex.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "TAP-Win32 Adapter V8" (tap0801) - "The OpenVPN Project" - C:\WINDOWS\System32\DRIVERS\tap0801.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} "Meine freigegebenen Ordner" - "Microsoft Corporation" - C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? - (File not found | COM-object registry key not found) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information) [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control" - ? - C:\WINDOWS\system32\Adobe\Director\SwDir.dll (File not found) / hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "{8AD9C840-044E-11D1-B3E9-00805F499D93}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? - (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {4248FE82-7FCB-46AC-B270-339F08212110} "&Virtuelle Tastatur" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll {CCF151D8-D089-449F-A5A4-D9909053F20F} "Li&nks untersuchen" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {AD6E6555-FB2C-47D4-8339-3E2965509877} "TerraTec Home Cinema" - "TerraTec Electronic GmbH" - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {E33CF602-D945-461A-83F0-819F76A199F8} "FilterBHO Class" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} "IEVkbdBHO Class" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "Antroposofischer Seelenkalender.lnk" - ? - C:\Programme\AntroVista\Seelenkalender\start.hta (Shortcut exists | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /minimized /regrun -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "AVP" - "Kaspersky Lab ZAO" - "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe" "openvpn-gui" - ? - C:\Programme\OpenVPN\bin\openvpn-gui.exe (File found, but it contains no detailed information) "UCam_Menu" - "CyberLink Corp." - "C:\Programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Programme\HomeCinema\YouCam" update "Software\CyberLink\YouCam\1.0" "UIExec" - ? - "C:\Programme\1&1 Surf-Stick\UIExec.exe" (File found, but it contains no detailed information) [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "EPSON Stylus DX3800 Series 2KMonitor5E" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\E_FLMACE.DLL [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Programme\Cyberlink\Shared files\RichVideo.exe "Kaspersky Anti-Virus Service" (AVP) - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE "Mozilla Maintenance Service" (MozillaMaintenance) - "Mozilla Foundation" - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "OpenVPN Service" (OpenVPNService) - ? - C:\Programme\OpenVPN\bin\openvpnserv.exe (File found, but it contains no detailed information) "ProtexisLicensing" (ProtexisLicensing) - ? - C:\WINDOWS\system32\PSIService.exe "Skype Updater" (SkypeUpdate) - "Skype Technologies" - C:\Programme\Skype\Updater\Updater.exe "UI Assistant Service" (UI Assistant Service) - ? - C:\Programme\1&1 Surf-Stick\AssistantServices.exe (File found, but it contains no detailed information) "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe "WTGService" (WTGService) - ? - C:\Programme\Verbindungsassistent\wtgservice.exe (File found, but it contains no detailed information) [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "klogon" - "Kaspersky Lab ZAO" - C:\WINDOWS\system32\klogon.dll ===[ Logfile end ]=========================================[ Logfile end ]=== 2.OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 22:41:17 on 03.07.2012 OS: Windows XP Home Edition Service Pack 3 (Build 2600) Default Browser: Mozilla Corporation Firefox 13.0.1 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "AppleSoftwareUpdate.job" - "Apple Inc." - C:\Programme\Apple Software Update\SoftwareUpdate.exe "GoogleUpdateTaskUserS-1-5-21-3134294254-2874434923-681666218-1007Core.job" - "Google Inc." - C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskUserS-1-5-21-3134294254-2874434923-681666218-1007UA.job" - "Google Inc." - C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "Ddbaccpl.cpl" - "DataDesign AG" - C:\WINDOWS\system32\Ddbaccpl.cpl "ddBACCTM.cpl" - "DataDesign AG" - C:\WINDOWS\system32\ddBACCTM.cpl "infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl "javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "catchme" (catchme) - ? - C:\ComboFix\catchme.sys (File not found) "Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found) "fwlyapog" (fwlyapog) - ? - C:\DOKUME~1\xxx\LOKALE~1\Temp\fwlyapog.sys (Hidden registry entry, rootkit activity | File not found) "i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found) "lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found) "PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found) "PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found) "PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found) "PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found) "PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found) "Sony Ericsson Device 039 Driver driver (WDM)" (SE27bus) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE27bus.sys "Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS)" (se27nd5) - "MCCI" - C:\WINDOWS\System32\DRIVERS\se27nd5.sys "Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM)" (se27unic) - "MCCI" - C:\WINDOWS\System32\DRIVERS\se27unic.sys "Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM)" (SE27mgmt) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE27mgmt.sys "Sony Ericsson Device 039 USB WMC Modem Driver" (SE27mdm) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE27mdm.sys "Sony Ericsson Device 039 USB WMC Modem Filter" (SE27mdfl) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE27mdfl.sys "Sony Ericsson Device 039 USB WMC OBEX Interface" (SE27obex) - "MCCI" - C:\WINDOWS\System32\DRIVERS\SE27obex.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys "TAP-Win32 Adapter V8" (tap0801) - "The OpenVPN Project" - C:\WINDOWS\System32\DRIVERS\tap0801.sys "WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found) [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll {807563E5-5146-11D5-A672-00B0D022E945} "Microsoft Office InfoPath XML Mime Filter" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {314111c7-a502-11d2-bbca-00c04f8ec294} "HxProtocol Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - (File not found | COM-object registry key not found) {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? - (File not found | COM-object registry key not found) {FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} "Meine freigegebenen Ordner" - "Microsoft Corporation" - C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Programme\Microsoft Office\Office12\msohevi.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Programme\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - ? - (File not found | COM-object registry key not found) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? - (File not found | COM-object registry key not found) {e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Web Folders" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Programme\WinRAR\rarext.dll (File found, but it contains no detailed information) [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {166B1BCA-3F9C-11CF-8075-444553540000} "Shockwave ActiveX Control" - ? - C:\WINDOWS\system32\Adobe\Director\SwDir.dll (File not found) / hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "{8AD9C840-044E-11D1-B3E9-00805F499D93}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}" - ? - (File not found | COM-object registry key not found) / hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}" - ? - (File not found | COM-object registry key not found) / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {4248FE82-7FCB-46AC-B270-339F08212110} "&Virtuelle Tastatur" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll {CCF151D8-D089-449F-A5A4-D9909053F20F} "Li&nks untersuchen" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- {AD6E6555-FB2C-47D4-8339-3E2965509877} "TerraTec Home Cinema" - "TerraTec Electronic GmbH" - C:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {E33CF602-D945-461A-83F0-819F76A199F8} "FilterBHO Class" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} "IEVkbdBHO Class" - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll [Logon] -----( %AllUsersProfile%\Startmenü\Programme\Autostart )----- "desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini -----( %UserProfile%\Startmenü\Programme\Autostart )----- "Antroposofischer Seelenkalender.lnk" - ? - C:\Programme\AntroVista\Seelenkalender\start.hta (Shortcut exists | File exists) "desktop.ini" - ? - C:\Dokumente und Einstellungen\xxx\Startmenü\Programme\Autostart\desktop.ini -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "Skype" - "Skype Technologies S.A." - "C:\Programme\Skype\Phone\Skype.exe" /minimized /regrun -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "AVP" - "Kaspersky Lab ZAO" - "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe" "openvpn-gui" - ? - C:\Programme\OpenVPN\bin\openvpn-gui.exe (File found, but it contains no detailed information) "UCam_Menu" - "CyberLink Corp." - "C:\Programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Programme\HomeCinema\YouCam" update "Software\CyberLink\YouCam\1.0" "UIExec" - ? - "C:\Programme\1&1 Surf-Stick\UIExec.exe" (File found, but it contains no detailed information) [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "EPSON Stylus DX3800 Series 2KMonitor5E" - "SEIKO EPSON CORPORATION" - C:\WINDOWS\system32\E_FLMACE.DLL [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- ".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe "Anwendungsverwaltung" (AppMgmt) - ? - C:\WINDOWS\System32\appmgmts.dll (File not found) "ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe "Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Programme\Cyberlink\Shared files\RichVideo.exe "Kaspersky Anti-Virus Service" (AVP) - "Kaspersky Lab ZAO" - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe "Microsoft Office Diagnostics Service" (odserv) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE "Mozilla Maintenance Service" (MozillaMaintenance) - "Mozilla Foundation" - C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE "OpenVPN Service" (OpenVPNService) - ? - C:\Programme\OpenVPN\bin\openvpnserv.exe (File found, but it contains no detailed information) "ProtexisLicensing" (ProtexisLicensing) - ? - C:\WINDOWS\system32\PSIService.exe "Skype Updater" (SkypeUpdate) - "Skype Technologies" - C:\Programme\Skype\Updater\Updater.exe "UI Assistant Service" (UI Assistant Service) - ? - C:\Programme\1&1 Surf-Stick\AssistantServices.exe (File found, but it contains no detailed information) "Windows CardSpace" (idsvc) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe "Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe "WTGService" (WTGService) - ? - C:\Programme\Verbindungsassistent\wtgservice.exe (File found, but it contains no detailed information) [Winlogon] -----( HKCU\Control Panel\IOProcs )----- "MVB" - ? - mvfs32.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )----- {c6dc5466-785a-11d2-84d0-00c04fb169f7} "Softwareinstallation" - ? - appmgmts.dll (File not found) -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "klogon" - "Kaspersky Lab ZAO" - C:\WINDOWS\system32\klogon.dll ===[ Logfile end ]=========================================[ Logfile end ]=== F.f. ... hier nun der aswMBR log Code:
ATTFilter aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software Run date: 2012-07-03 23:09:22 ----------------------------- 23:09:22.120 OS Version: Windows 5.1.2600 Service Pack 3 23:09:22.120 Number of processors: 2 586 0x1C02 23:09:22.120 ComputerName: xxx-30983A UserName: xxx 23:10:00.776 Initialize success 23:18:23.089 AVAST engine defs: 12070301 23:19:43.839 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 23:19:43.839 Disk 0 Vendor: WDC_WD80 04.0 Size: 76319MB BusType: 3 23:19:43.917 Disk 0 MBR read successfully 23:19:43.948 Disk 0 MBR scan 23:19:45.480 Disk 0 Windows XP default MBR code 23:19:45.511 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 67993 MB offset 63 23:19:45.573 Disk 0 Partition 2 00 0C FAT32 LBA MSWIN4.1 8322 MB offset 139251420 23:19:45.636 Disk 0 scanning sectors +156296385 23:19:45.823 Disk 0 scanning C:\WINDOWS\system32\drivers 23:20:22.433 Service scanning 23:20:30.308 Service KL1 C:\WINDOWS\system32\DRIVERS\kl1.sys **LOCKED** 5 23:20:30.339 Service kl2 C:\WINDOWS\system32\DRIVERS\kl2.sys **LOCKED** 5 23:20:30.573 Service klim5 C:\WINDOWS\system32\DRIVERS\klim5.sys **LOCKED** 5 23:20:30.620 Service klmouflt C:\WINDOWS\system32\DRIVERS\klmouflt.sys **LOCKED** 5 23:20:43.823 Modules scanning 23:21:43.120 Disk 0 trace - called modules: 23:21:43.151 ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 23:21:43.151 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86d43a90] 23:21:43.151 3 CLASSPNP.SYS[f75f3fd7] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x86d78030] 23:21:43.698 AVAST engine scan C:\WINDOWS 23:22:49.198 AVAST engine scan C:\WINDOWS\system32 23:29:43.948 AVAST engine scan C:\WINDOWS\system32\drivers 23:30:18.980 AVAST engine scan C:\Dokumente und Einstellungen\xxx 23:36:13.026 AVAST engine scan C:\Dokumente und Einstellungen\All Users 23:54:44.745 Scan finished successfully 01:22:18.589 Disk 0 MBR has been saved successfully to "G:\Datensicherheit Rechner und Sicherungen\Netbook Berichte\MBR.dat" 01:22:19.917 The log file has been saved successfully to "G:\Datensicherheit Rechner und Sicherungen\Netbook Berichte\aswMBR.txt" Geändert von Tinevni (03.07.2012 um 22:05 Uhr) |
04.07.2012, 16:54 | #18 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum AufzeichnungZitat:
Ich hab das ohne Virenscanner in meinen OSAM Baustein eingebaut, weil es ne zeitlang echt mit Fehlalarmen genervt hat, einige Scanner meinten ständig eine Bedrohunh in OSAM gesehen zu haben und irgendwann ist man genervt wenn man immer die gleiche Geschichte erzählen muss weil viele nicht wissen was genau ein Fehlalarm ist - naja "werbegeschädigt" denn der Virenscanner hat ja immer Recht Zitat:
Irgendwie ist diese ganze Geschichte "ich führ alles nach Anleitung aus" sowas wie ein Auto Schreitt für Schriff auseinanderzunehmen, den Kfz Meister Bilder schicken und er gibt wieder ne Anleitung wie man was zusammenbaut etc. Wenn man kein Automechaniker ist wird man die einzelnen Schritte wohl auch nie richtig verstehen Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ |
06.07.2012, 01:04 | #19 | |
| HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum AufzeichnungZitat:
Jetzt war einiges merkwürdig bei der Scannerei, ich hoffe, ich bekomme es noch zusammen: Nach der Malwarbyte-log hab ich kurz Skype im Startmenu gesehen, obwohl ich es beendet hatte. Bei nochmaligem Nachsehen war es nicht da. Skype spinnt sowieso dauernd auf dem Netbook - ist sichtbar aber nicht anklickbar. Ich deinstalliere es gelegentlich und ziehe es neu auf. Hier der Malwarebytelog: Code:
ATTFilter Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.07.05.05 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 xxx :: xxx-30983A [Administrator] 05.07.2012 15:45:08 mbam-log-2012-07-05 (15-45-08).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 352821 Laufzeit: 2 Stunde(n), 2 Minute(n), 28 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Dann habe ich bei beiden Scans den Kaspersky angelassen und W-Lan. Jetzt bin ich zudem verunsichert, weil da ja Unmengen Funde sind und ich nicht weiß, ob ich die removen soll, oder abbrechen - oder was... ? Ich denke, ich breche ab. Ich habe den Eindruck, da sind Sachen dabei, wegen denen ich das Netbook nicht völlig neu aufziehe, weil ich die nicht mehr installiert bekomme. Die VPN-Verbindung ist mir vor allem wichtig. Wenn es sein soll, kann ich den Scan ja nochmal machen. ... ? Außerdem konnte ich eben nicht alles senden wegen Überlänge. Ich versuche, den Antispywarelog extra zu senden. DANKE und gute N8! Geändert von Tinevni (06.07.2012 um 01:31 Uhr) Grund: Anhang nachreichen |
06.07.2012, 09:59 | #20 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum AufzeichnungZitat:
Die Anleitung zu SUPERAntiSpyware hab ich erst vor einer Woche vollständig überarbeitet und ich kann mir nicht vorstellen, dass nun wieder alles komplett anders aussehen soll - es sei denn du hast nicht genau nach der Anleitung gehandelt! Wenn du schon sowas anmerkst solltest du auch konkret mal sagen was genau falsch sein soll an der neuen Anleitung
__________________ Logfiles bitte immer in CODE-Tags posten |
06.07.2012, 13:23 | #21 | |
| HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum AufzeichnungZitat:
Tut mir leid, ich kann nur sagen, dass bei der Installation 2x in Fenstern danach gefragt wurde, ob ich google-chrome und noch ein google-Angebot installieren will - die Haken waren bereits als angeklickt vorgegeben. Zwischendurch war eine Fenster ohne diese Anfrage - es war im 1. Teil der Installation, ich schätz so ab 4. oder 5. Bild abweichend von dem, was im Forum dargestellt ist. Den download habe ich auch über das Forum anvisiert. Ich würde es gerne nochmal durchgehen, um genauere Beobachtungen zu schildern, dazu müsste ich aber Antispyware wieder deinstallieren. Und ich bin nicht sicher, ob das ok ist, nachdem ich die Funde gestern belassen habe? (Oder ob ich erst nochmal scannen soll und anschließend auf "remove" gehen soll.) Übrigens: seid dem Scan gestern kann ich (nur momentan?) auch nicht mehr per W-Lan ins Netz. Das gilt für Note- und Netbook. Andere Netze werden angezeigt, meins im Netbook nicht (da wo ich gerade Viren jage) auf dem Linux-Notebook ja, aber erfolglos. Dank und Gruß |
06.07.2012, 14:33 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum Aufzeichnung Hm, ich kann mich nicht an ein Googlekram im Setup erinnern Vllt ist der Mist da ja hinzugekommen erst vor ein paar Tagen Es ist mittlerweile auch eine Unsitte und grobe Frechheit, dass jedes Popelsetup dem Anwender die x.te Toolbar oder den 5. Browser aufschwatzen will
__________________ Logfiles bitte immer in CODE-Tags posten |
06.07.2012, 14:40 | #23 | |
| HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum AufzeichnungZitat:
was kann ich nun tun? |
07.07.2012, 16:37 | #24 |
| HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum Aufzeichnung Jetzt geht der W-Lan wiede an beiden Geräten. Hatte wohl nix mit dem Scan zu tun (?) |
09.07.2012, 11:07 | #25 |
/// Winkelfunktion /// TB-Süch-Tiger™ | HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum AufzeichnungCode:
ATTFilter Virus.FunLove D:\DRIVER\BLUETOOTH_J3 (OPTIONAL)\BTW 6.0.1.6300\WIN64\INSTMSIW.EXE D:\DRIVER\BLUETOOTH_J3 (OPTIONAL)\BTW 6.0.1.6300\WIN32\INSTMSIW.EXE D:\DRIVER\BLUETOOTH_J3 (OPTIONAL)\BTW 5[1].5.0.3200\WIN64\INSTMSIW.EXE D:\DRIVER\BLUETOOTH_J3 (OPTIONAL)\BTW 5[1].5.0.3200\WIN32\INSTMSIW.EXE D:\TOOLS\WORD PERFECT\FR\WPOX3\INSTMSIW.EXE D:\TOOLS\WORD PERFECT\EN\WPOX3\INSTMSIW.EXE D:\TOOLS\WORD PERFECT\DE\WPOX3\INSTMSIW.EXE D:\TOOLS\BLUETOOTH_J3\BTW 6.0.1.6300\WIN64\INSTMSIW.EXE D:\TOOLS\BLUETOOTH_J3\BTW 6.0.1.6300\WIN32\INSTMSIW.EXE D:\TOOLS\BLUETOOTH_J3\BTW 5[1].5.0.3200\WIN64\INSTMSIW.EXE D:\TOOLS\BLUETOOTH_J3\BTW 5[1].5.0.3200\WIN32\INSTMSIW.EXE F:\12.06 NETBOOKSICHERUNG\OPENVPN NETBOOK\OPENOFFICE.ORG 3.0 (DE) INSTALLATION FILES\INSTMSIW.EXE F:\SYSTEM VOLUME INFORMATION\_RESTORE{EF710D4B-86A7-4635-8138-E81D2FBEE8C6}\RP313\A0150438.EXE C:\SYSTEM VOLUME INFORMATION\_RESTORE{EF710D4B-86A7-4635-8138-E81D2FBEE8C6}\RP313\A0150392.EXE Trojan.Agent/Gen-Frauder C:\PROGRAMME\1&1 SURF-STICK\COMPONENT\BIUSBSOUND.DLL Heur.Agent/Gen-WhiteBox C:\PROGRAMME\MEDION GOPAL ASSISTANT\UPDATER.EXE Trojan.Agent/Gen-Malintent C:\PROGRAMME\WINRAR\DEFAULT.SFX Sieht ok aus, da wurden nur Cookies gefunden. Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/ Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
09.07.2012, 14:43 | #26 | |||
| HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum AufzeichnungZitat:
Ich kann also AntiSpyware ruhig noch mal laufen und dann die Funde removen lassen? Und anschließend nach Eurer Beschreibung wieder deinstallieren? Und es kann also auch sein, dass generell gar nichts auf dem Netbook war? (Anfangs gab es ja die Vermutung, da Eset auch Fehlarlarme sendet). Auf diese beiden Fragen oben hätte ich gerne noch eine Antwort! Zitat:
Zitat:
Super soweit ! Jetzt kommt der Rechner (in einem neuen Beitrag!) dran, da sind viele Würmer gewesen und das war der Anlass der Untersuchung des Netbooks. Kann es sein, dass auch ein Virenprogramm Würmer übersieht, wenn ich von einem veralteten Thunderbird unter Linux/Slackwware (Version 3.1.13 - der admin sagt, da schadet es nichts und ich hab keine Rechte, es upzudaten) die Profile zu windows transportiere und da dann aufmache? Jedenfalls hat Thunderbird einen ganzen Entwurfs-Ordner (2.1 MB) von mir versendet - die Mail unter "send" hat den aber nicht anhängen. Doch das gehört wohl in den Threat mit dem Rechner... Vielen Dank jedenfalls soweit! Ich hab auch schon was an Euer Konto überwiesen. Und wenn die andere Sache und der Erfolg gut ist, dann kommt mehr! |
09.07.2012, 14:49 | #27 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum AufzeichnungZitat:
Cookies sind browsergesteuert also sollte man sie womit bevorzugt entfernt? Und das andere sind Fehlalarme, was Fehlalarme sind weiß du auch wenn ja warum willst du sie entfernen oder versteht man sich hier wieder völlig falsch? Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
10.07.2012, 08:33 | #28 | ||
| HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum AufzeichnungZitat:
Zitat:
Mir war die Frage, ob die Thunderbird-Profile über Linux überhaupt Viren einfangen können, die sie dann beim Transport zu windows xp in eine moderne Thunderbird-Version mit einschleusen können, oder ob sonstwie über diesen Transfer Türen geöffnet werden können. ICh verstehe sonst nicht, wie die Viren rein kommen konnten. Zu Cookie Culler: da hab ich mich leider verarschen lassen, und den Scan ausgeführt, wodurch der download dann zu RegCleanPro führt, was ich nicht gleich geschnall habe. Der findet auch wieder jede Menge Kram - ich hab allerdings auch Kaspersky und Antispyware ausgeschaltet. Das meiste verwies auf die nicht bestehende Verbindung zu alten Daten - ok, das hab ich rausgeschmissen. Dann sagt er, es seien noch 24 Funde da, und wenn ich die wegmachen will, muss ich das neue Programm kaufen. Ich poste den log hier, nicht dass ich was übersehe - generell schmeiß ich RegClean jetzt jedoch wieder raus. Code:
ATTFilter <?xml version="1.0" encoding="utf-8" standalone="yes"?><?xml-stylesheet type='text/xsl' href='C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Systweak\Advanced System Protector\log.xslt'?><info><LangStrings><string1>Datum der Überprüfung</string1><string2>Datenbankversion</string2><string3>Gefundene Elemente insgesamt</string3><string4>Überprüfte Objekte:</string4><string5>Abgelaufene Zeit:</string5><string6>Name</string6><string7>Gefundene Elemente</string7><string8>Name der Infektion</string8><string9>Kategorie</string9><string10>Bedrohungsstufe</string10><string11>Durchgeführte Aktion</string11><string12>Elemente gefunden</string12><string13>Gefundener Bereich</string13><string14>Details</string14><string15>Dateiname</string15><string16>MD5</string16><string17>Signatur</string17><string18>Registrierungsschlüssel</string18><string19>Keine Infektionen entdeckt.</string19><string20 /></LangStrings><loginfo><date>10.07.2012 09:20:39</date><key /><istrial>True</istrial><system>xxx-30983A|192.168.178.27|00-1D-92-52-7B-E0</system><scantype>QuickScan</scantype><os>Windows XP 32 Bit, Version : Microsoft Windows NT 5.1.2600 Service Pack 3</os><dbversion>997</dbversion><time>00:05:34</time><objectscanned>211181</objectscanned><objectfound>24</objectfound><cultureinfo>German (Germany)</cultureinfo><version>2.1.1000.9467</version></loginfo><companyinfo><companyname>Systweak</companyname><productname>Advanced System Protector</productname><copyright>Copyright © Systweak Inc. 2012</copyright></companyinfo><log logdate="Dienstag, 10. Juli 2012" databaseversion="997" objectscanned="211181" timeelapsed="00:05:34"><SerializableDictionaryOfStringListOfcFoundItems><Item><Key><string>trojan-backdoor.bifrose</string></Key><Value><ArrayOfFI><FI><C>Backdoor</C><TL>Severe</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_current_user</V1><V2>software\wget</V2><V3 /><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>210750</ID></FI></ArrayOfFI></Value></Item><Item><Key><string>roguesecurityprogram.winantivirus-pro-2006</string></Key><Value><ArrayOfFI><FI><C>Rogue Antispyware Program</C><TL>Severe</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_classes_root</V1><V2>*\shellex\contextmenuhandlers\shellextension</V2><V3 /><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>212507</ID></FI><FI><C>Rogue Antispyware Program</C><TL>Severe</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_classes_root</V1><V2>directory\shellex\contextmenuhandlers\shellextension</V2><V3 /><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>212507</ID></FI><FI><C>Rogue Antispyware Program</C><TL>Severe</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_classes_root</V1><V2>drive\shellex\contextmenuhandlers\shellextension</V2><V3 /><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>212507</ID></FI><FI><C>Rogue Antispyware Program</C><TL>Severe</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>software\classes\*\shellex\contextmenuhandlers\shellextension</V2><V3 /><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>212507</ID></FI><FI><C>Rogue Antispyware Program</C><TL>Severe</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>software\classes\directory\shellex\contextmenuhandlers\shellextension</V2><V3 /><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>212507</ID></FI><FI><C>Rogue Antispyware Program</C><TL>Severe</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>software\classes\drive\shellex\contextmenuhandlers\shellextension</V2><V3 /><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>212507</ID></FI></ArrayOfFI></Value></Item><Item><Key><string>roguesecurityprogram.pro-antispyware-2009</string></Key><Value><ArrayOfFI><FI><C>Rogue Antispyware Program</C><TL>Severe</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_current_user</V1><V2>software\microsoft\windows\currentversion\drivers\video</V2><V3 /><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>212916</ID></FI><FI><C>Rogue Antispyware Program</C><TL>Severe</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_current_user</V1><V2>software\microsoft\windows\currentversion\drivers\video\options</V2><V3 /><WSS>None</WSS><PID>false</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>0</ID></FI></ArrayOfFI></Value></Item><Item><Key><string>roguesecurityprogram.multiviruscleaner</string></Key><Value><ArrayOfFI><FI><C>Rogue Antispyware Program</C><TL>Severe</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_current_user</V1><V2>software\microsoft\internet explorer\main</V2><V3>iewatsondisabled</V3><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>213112</ID></FI></ArrayOfFI></Value></Item><Item><Key><string>roguesecurityprogram.ms-antispyware-2009</string></Key><Value><ArrayOfFI><FI><C>Rogue Antispyware Program</C><TL>Severe</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_current_user</V1><V2>software\microsoft\windows\currentversion\drivers</V2><V3 /><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>213393</ID></FI></ArrayOfFI></Value></Item><Item><Key><string>trojan-spy.banker</string></Key><Value><ArrayOfFI><FI><C>Trojan Spy</C><TL>Elevated</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>system\currentcontrolset\services\catchme</V2><V3 /><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>210786</ID></FI><FI><C>Trojan Spy</C><TL>Elevated</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>system\currentcontrolset\services\catchme</V2><V3>type</V3><WSS>None</WSS><PID>false</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>0</ID></FI><FI><C>Trojan Spy</C><TL>Elevated</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>system\currentcontrolset\services\catchme</V2><V3>errorcontrol</V3><WSS>None</WSS><PID>false</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>0</ID></FI><FI><C>Trojan Spy</C><TL>Elevated</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>system\currentcontrolset\services\catchme</V2><V3>start</V3><WSS>None</WSS><PID>false</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>0</ID></FI><FI><C>Trojan Spy</C><TL>Elevated</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>system\currentcontrolset\services\catchme</V2><V3>imagepath</V3><WSS>None</WSS><PID>false</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>0</ID></FI><FI><C>Trojan Spy</C><TL>Elevated</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>system\currentcontrolset\services\catchme</V2><V3>group</V3><WSS>None</WSS><PID>false</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>0</ID></FI><FI><C>Trojan Spy</C><TL>Elevated</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>system\currentcontrolset\services\catchme\enum</V2><V3 /><WSS>None</WSS><PID>false</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>0</ID></FI><FI><C>Trojan Spy</C><TL>Elevated</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>system\currentcontrolset\services\catchme\enum</V2><V3>0</V3><WSS>None</WSS><PID>false</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>0</ID></FI><FI><C>Trojan Spy</C><TL>Elevated</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>system\currentcontrolset\services\catchme\enum</V2><V3>count</V3><WSS>None</WSS><PID>false</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>0</ID></FI><FI><C>Trojan Spy</C><TL>Elevated</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_local_machine</V1><V2>system\currentcontrolset\services\catchme\enum</V2><V3>nextinstance</V3><WSS>None</WSS><PID>false</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>0</ID></FI></ArrayOfFI></Value></Item><Item><Key><string>worm-email.vb</string></Key><Value><ArrayOfFI><FI><C>Email-Worm </C><TL>High</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_current_user</V1><V2>software\microsoft\security center</V2><V3>antivirusdisablenotify</V3><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>211927</ID></FI><FI><C>Email-Worm </C><TL>High</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_current_user</V1><V2>software\microsoft\security center</V2><V3>updatesdisablenotify</V3><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>211927</ID></FI></ArrayOfFI></Value></Item><Item><Key><string>monitoring.employees-pc-monitor</string></Key><Value><ArrayOfFI><FI><C>Monitoring Tool</C><TL>High</TL><AP>NoActionTaken</AP><ActionToPerform>None</ActionToPerform><FT>Registry</FT><V1>hkey_users</V1><V2>s-1-5-18\software\microsoft\windows\currentversion\policies\system</V2><V3 /><WSS>None</WSS><PID>true</PID><CMP>NotPacked</CMP><DV /><FA>Registry</FA><ID>214701</ID></FI></ArrayOfFI></Value></Item></SerializableDictionaryOfStringListOfcFoundItems></log></info> Zusatz: Cookie Culler ist mit meiner neuen Firefox-Version nicht ausführbar. |
10.07.2012, 12:56 | #29 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum AufzeichnungZitat:
Mail mit Schadanhängen kannst du doch auch unter Linux bekommen die eigentliche Frage aber ist ob dieser Schädling auch unter Linux Schaden anrichten kann! Und da lautet die Antwort: nein bzw. es ist sehr sehr unwahrscheinlich! Zitat:
Hier sollte man sich bevorzugt Addons runterladen! => http://filepony.de/download-cookie_culler/
__________________ Logfiles bitte immer in CODE-Tags posten |
11.07.2012, 12:22 | #30 | ||
| HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum AufzeichnungZitat:
Zitat:
Jetzt gehts mit neuem Ansatz an den Rechner... |
Themen zu HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum Aufzeichnung |
alternate, avira, avira searchfree toolbar, bho, desktop, einstellungen, error, eset smart security, exe, explorer, firefox, firefox 13.0.1, format, ftp, hijack, home, internet, kaspersky, logfile, mozilla, ntdll.dll, programme, realtek, registry, revo-uninstaller, searchscopes, security, software, suche, tastatur, udp, virus |