|
Log-Analyse und Auswertung: ctfmon_pu.exe und iexplore.exe sabotieren SystemWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.09.2009, 17:21 | #1 |
| ctfmon_pu.exe und iexplore.exe sabotieren System Hallo, ich habe folgendes Problem; wenn ich mein eingeschränktes Konto öffne tauchen zwei Fehlermeldungen auf 1. ctfmon_pu.exe und 2. iexplore.exe. Im Taskmanager werden unzählige dieser Prozesse gestartet, wenn man einen Eintrag markiert fängt die Anzeige des Taskmgrs an zu blinken. Es lassen sich keine Prozesse beenden. Ich habe schon ein Konto gelöscht und als Ersatz ein neues angelegt, aber der Fehler tritt weiterhin auf. auf einem zweiten Konto (admin - habs auch als eingeschränkt probiert) ist nichts auffälliges zu verzeichnen. Antivir hat nichts zutage gefördert. ---------------------------------------------------------------------------------------------------- Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2876 Windows 5.1.2600 Service Pack 3 30.09.2009 17:01:48 mbam-log-2009-09-30 (17-01-48).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|X:\|) Durchsuchte Objekte: 227984 Laufzeit: 59 minute(s), 1 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\w32id (Spyware.OnlineGames) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.losstarten.de/) Good: (http://www.Google.com) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{397F451E-DBA8-43EE-9D46-F478331B78F5}\RP145\A0063239.dll (Trojan.BHO) -> Quarantined and deleted successfully. ------------------------------------------------------------------------------------ HIER DIE LOG.txt: ------------------------------------------------------------------------------------ Logfile of random's system information tool 1.06 (written by random/random) Run by onkel o at 2009-09-30 17:25:34 Microsoft Windows XP Professional Service Pack 3 System drive C: has 10 GB (41%) free of 25 GB Total RAM: 2047 MB (83% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:25:47, on 30.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20978) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe F:\software\security\antivirus\Avira\AntiVir Desktop\sched.exe F:\software\security\antivirus\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE F:\software\security\firewall\ZoneAlarm\zlclient.exe F:\software\security\antivirus\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\onkel o\Desktop\RSIT.exe C:\Programme\trend micro\onkel o.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.idgmedia.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\software\andere\java\bin\jp2ssv.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\software\security\firewall\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\software\andere\java\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "F:\software\security\antivirus\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "F:\software\security\trojaner board\ Malwarebytes Anti-Malware \mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [uTorrent] "F:\software\internet\utorrent\utorrent.exe" O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Startup: JDownloader.exe.lnk = F:\software\internet\jddownloader\JDownloader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\software\office\MSoffice\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\software\security\antivirus\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\software\security\antivirus\Avira\AntiVir Desktop\avguard.exe O23 - Service: Google Update Service (gupdate1c9c51d1c1c8788) (gupdate1c9c51d1c1c8788) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE O23 - Service: NMSAccessU - Unknown owner - F:\software\andere\brenn-programm\BurnAware Free\nmsaccessu.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4991 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\Google Software Updater.job C:\WINDOWS\tasks\GoogleUpdateTaskMachine.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}] AskBar BHO - C:\Programme\AskBarDis\bar\bin\askBar.dll [2008-11-18 333192] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}] Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-04-24 668656] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - F:\software\andere\java\bin\jp2ssv.dll [2009-02-19 35840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - C:\Programme\AskBarDis\bar\bin\askBar.dll [2008-11-18 333192] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2006-11-17 577536] "ZoneAlarm Client"=F:\software\security\firewall\ZoneAlarm\zlclient.exe [2008-07-09 919016] "SunJavaUpdateSched"=F:\software\andere\java\bin\jusched.exe [2009-02-19 148888] "avgnt"=F:\software\security\antivirus\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153] "RaidTool"=C:\Programme\VIA\RAID\raid_tool.exe [2004-10-11 589824] " Malwarebytes Anti-Malware (reboot)"=F:\software\security\trojaner board\ Malwarebytes Anti-Malware \mbam.exe [2009-09-10 1312080] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2009-04-24 39408] "uTorrent"=F:\software\internet\utorrent\utorrent.exe [2009-07-08 288048] C:\Dokumente und Einstellungen\onkel o\Startmenü\Programme\Autostart JDownloader.exe.lnk - F:\software\internet\jddownloader\JDownloader.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2008-05-10 236928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll [2008-05-10 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 "DisableStatusMessages"=0 "DisableCAD"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=255 "NoResolveTrack"=1 "NoResolveSearch"=1 "NoInstrumentation"=1 "NoStartMenuMFUprogramsList"=1 "NoSMMyPictures"=1 "NoSMMyDocs"=1 "StartMenuLogoff"=1 "ForceStartMenuLogoff"=0 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "F:\hardware\Drucker\hp\Digital Imaging\bin\hpqtra08.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe" "F:\hardware\Drucker\hp\Digital Imaging\bin\hpqste08.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe" "F:\hardware\Drucker\hp\Digital Imaging\bin\hpofxm08.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe" "F:\hardware\Drucker\hp\Digital Imaging\bin\hposfx08.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe" "F:\hardware\Drucker\hp\Digital Imaging\bin\hposid01.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe" "F:\hardware\Drucker\hp\Digital Imaging\bin\hpqscnvw.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe" "F:\hardware\Drucker\hp\Digital Imaging\bin\hpqkygrp.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe" "F:\hardware\Drucker\hp\Digital Imaging\bin\hpqCopy.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe" "F:\hardware\Drucker\hp\Digital Imaging\bin\hpfccopy.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe" "F:\hardware\Drucker\hp\Digital Imaging\bin\hpzwiz01.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe" "F:\hardware\Drucker\hp\Digital Imaging\Unload\HpqPhUnl.exe"="F:\hardware\Drucker\hp\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe" "F:\hardware\Drucker\hp\Digital Imaging\Unload\HpqDIA.exe"="F:\hardware\Drucker\hp\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe" "F:\hardware\Drucker\hp\Digital Imaging\bin\hpoews01.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe" "F:\hardware\Drucker\hp\Digital Imaging\bin\hpqnrs08.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" ======List of files/folders created in the last 1 months====== 2009-09-30 17:25:34 ----D---- C:\rsit 2009-09-30 17:25:34 ----D---- C:\Programme\trend micro 2009-09-30 15:50:19 ----D---- C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Malwarebytes 2009-09-30 15:50:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-09-26 12:48:30 ----A---- C:\trace.ini 2009-09-26 12:47:33 ----A---- C:\WINDOWS\err.txt 2009-09-24 19:37:11 ----D---- C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Langenscheidt 2009-09-24 19:37:11 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Langenscheidt 2009-09-16 21:26:21 ----D---- C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\avidemux 2009-09-02 18:30:45 ----A---- C:\WINDOWS\system32\yv12vfw.dll 2009-09-02 18:30:45 ----A---- C:\WINDOWS\system32\i420vfw.dll 2009-09-02 18:30:45 ----A---- C:\WINDOWS\system32\devil.dll 2009-09-02 18:30:45 ----A---- C:\WINDOWS\system32\AVSredirect.dll 2009-09-02 18:30:45 ----A---- C:\WINDOWS\system32\avisynth.dll 2009-09-02 18:30:43 ----D---- C:\Programme\AviSynth 2.5 2009-09-02 18:30:26 ----RSH---- C:\WINDOWS\system32\nbDX.dll 2009-09-02 18:30:26 ----RSH---- C:\WINDOWS\system32\msfDX.dll 2009-09-02 18:30:26 ----RSH---- C:\WINDOWS\system32\flvDX.dll ======List of files/folders modified in the last 1 months====== 2009-09-30 17:25:34 ----D---- C:\Programme 2009-09-30 17:18:39 ----D---- C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\uTorrent 2009-09-30 17:18:28 ----D---- C:\WINDOWS 2009-09-30 17:13:06 ----D---- C:\WINDOWS\system32 2009-09-30 17:12:49 ----D---- C:\WINDOWS\Temp 2009-09-30 17:11:14 ----SD---- C:\WINDOWS\Tasks 2009-09-30 17:11:03 ----D---- C:\WINDOWS\system32\CatRoot2 2009-09-30 17:09:49 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-09-30 16:29:49 ----D---- C:\WINDOWS\Internet Logs 2009-09-30 15:50:14 ----D---- C:\WINDOWS\system32\drivers 2009-09-30 15:43:14 ----D---- C:\WINDOWS\Debug 2009-09-30 14:27:39 ----SHD---- C:\WINDOWS\Installer 2009-09-30 14:27:39 ----HD---- C:\Config.Msi 2009-09-30 14:27:38 ----A---- C:\WINDOWS\ODBC.INI 2009-09-30 14:19:58 ----SHD---- C:\RECYCLER 2009-09-30 14:17:20 ----D---- C:\Dokumente und Einstellungen 2009-09-30 13:58:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2009-09-29 13:10:09 ----A---- C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\burnaware.ini 2009-09-17 19:07:54 ----D---- C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\dvdcss 2009-09-02 18:30:41 ----RSD---- C:\WINDOWS\Fonts ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-07-02 43520] R1 Aspi32;Aspi32; C:\WINDOWS\system32\drivers\Aspi32.sys [2008-05-10 25244] R1 avgio;avgio; \??\F:\software\security\antivirus\Avira\AntiVir Desktop\avgio.sys [] R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-02 96104] R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720] R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768] R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520] R1 vmm;Virtual Machine Monitor; \??\C:\WINDOWS\system32\Drivers\vmm.sys [] R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2008-07-09 394952] R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-05 55656] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2007-03-08 4027840] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368] R3 mcdbus;Driver for MagicISO SCSI Host Controller; C:\WINDOWS\system32\DRIVERS\mcdbus.sys [2008-07-28 116736] R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2008-05-10 12288] R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-04-13 1897408] R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2008-04-07 105088] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520] R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608] R3 VPCNetS2;Virtual Machine Network Services Driver; C:\WINDOWS\system32\DRIVERS\VMNetSrv.sys [2008-02-05 59960] S3 BIOSCHK;BIOSCHK; \??\C:\DOKUME~1\ONKELO~1\LOKALE~1\Temp\TII20.tmp\disk1\BIOSCHK.SYS [] S3 EverestDriver;Lavalys EVEREST Kernel Driver; \??\F:\software\andere\Everest Ultimate Edition v.4.60.1613 beta\kerneld.wnt [] S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2006-04-13 49664] S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2006-04-13 16496] S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2006-04-13 21568] S3 RTCore32;RTCore32; \??\F:\software\andere\right mark cpu\RTCore32.sys [] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2008-05-10 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2008-05-10 82944] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AntiVirSchedulerService;Avira AntiVir Planer; F:\software\security\antivirus\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289] R2 AntiVirService;Avira AntiVir Guard; F:\software\security\antivirus\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089] R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2006-03-03 69632] R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2008-07-09 75304] S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240] S3 gupdate1c9c51d1c1c8788;Google Update Service (gupdate1c9c51d1c1c8788); C:\Programme\Google\Update\GoogleUpdate.exe [2009-04-24 133104] S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-24 183280] S3 HP Status Server;HP Status Server; C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE [2004-10-16 73728] S3 NMSAccessU;NMSAccessU; F:\software\andere\brenn-programm\BurnAware Free\nmsaccessu.exe [2008-05-03 71096] S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136] S3 WinRM;Windows Remote Management (WS-Management); C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] -----------------EOF----------------- |
30.09.2009, 17:22 | #2 |
| ctfmon_pu.exe und iexplore.exe sabotieren System Fortsetzung:
__________________HIER DIE INFO.txt: info.txt logfile of random's system information tool 1.06 2009-09-30 17:25:49 ======Uninstall list====== 7-Zip 4.65-->"F:\software\andere\packerprogramme\7zip\Uninstall.exe" Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe AMD Processor Driver-->C:\Programme\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe -runfromtemp -l0x0007 -removeonly Ask Toolbar-->"C:\Programme\AskBarDis\unins000.exe" Avidemux 2.5-->F:\software\videobearbeitung\avidemux\Avidemux 2.5\uninstall.exe Avira AntiVir Personal - Free Antivirus-->F:\software\security\antivirus\Avira\AntiVir Desktop\setup.exe /REMOVE BurnAware Free 2.3.0-->"F:\software\andere\brenn-programm\BurnAware Free\unins000.exe" CCleaner (remove only)-->"F:\software\security\trojaner board\ccleaner\uninst.exe" Foxit Reader-->F:\software\andere\foxit pdf reader\Foxit Reader\Uninstall.exe Free FLV Converter V 5.9-->"F:\software\videobearbeitung\mp4player amv\unins000.exe" GoldWave v5.14-->"F:\software\music\goldwave\GoldWave\unstall.exe" "GoldWave v5.14" "F:\software\music\goldwave\GoldWave\unstall.log" Google Earth-->MsiExec.exe /X{548EAC70-EE00-11DD-908C-005056806466} Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall Hotfix für Windows XP (KB942288-v3)-->"C:\WINDOWS\$NtUninstallKB942288-v3$\spuninst\spuninst.exe" HP Photosmart, Officejet and Deskjet 7.0.A-->F:\hardware\Drucker\hp\Digital Imaging\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\setup\hpzscr01.exe -datfile hposcr11.dat Imikimi Plugin-->"F:\software\internet\imikimi\uninstall.exe" Internet Explorer 7-->C:\Programme\Internet Explorer\iexplore.exe IrfanView (remove only)-->F:\software\bildbearbeitung\irfanview\iv_uninstall.exe Java(TM) 6 Update 12-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF} Lame ACM MP3 Codec-->C:\WINDOWS\system32\rundll32.exe setupapi,InstallHinfSection Remove_LameMP3 132 C:\WINDOWS\INF\LameACM.inf Langenscheidt Vokabeltrainer 4.0 Englisch-->MsiExec.exe /I{D6FBA785-DF2D-48C5-B238-40ABBD8EB780} Magic ISO Maker v5.5 (build 0276)-->F:\software\andere\BRENN-~1\magiciso\UNWISE.EXE F:\software\andere\BRENN-~1\magiciso\INSTALL.LOG MagicDisc 2.7.105-->F:\software\andere\BRENN-~1\MAGICD~1\UNWISE.EXE F:\software\andere\BRENN-~1\MAGICD~1\INSTALL.LOG Malwarebytes' Anti-Malware-->"F:\software\security\trojaner board\ Malwarebytes Anti-Malware \unins000.exe" Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9} Microsoft Tool Web Package : EXTRACT.EXE-->MsiExec.exe /X{D52A721B-E44C-4AD7-AD4F-29D83144384B} Microsoft Virtual PC 2007 SP1-->MsiExec.exe /X{AD483998-2E9A-4405-83FF-6E503AF49CBB} Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d} Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475} MKVtoolnix 2.9.8-->F:\software\videobearbeitung\mkvtoolnix\uninst.exe Mozilla Firefox (3.5.3)-->F:\software\internet\ffox\uninstall\helper.exe Mozilla Thunderbird (2.0.0.23)-->F:\software\internet\thunderbird\uninstall\helper.exe MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} MSXML 6.0 Parser (KB927977)-->MsiExec.exe /I{5A710547-B58E-488B-828D-CA9A25A0533C} Nero 8 Micro-->"F:\software\andere\brenn-programm\nero\unins000.exe" nLite 1.4.9.1-->"F:\software\andere\nlite\unins000.exe" OCR Software by I.R.I.S 7.0-->F:\hardware\Drucker\hp\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat QuickPar 0.9-->F:\software\andere\packerprogramme\quickpar\uninst.exe Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7 -removeonly Sereby's XP SP3 Updatepack Version 3.8.4.1-->msiexec.exe Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953155)-->"C:\WINDOWS\$NtUninstallKB953155$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" SUPER © Version 2009.bld.36 (June 10, 2009)-->F:\software\VIDEOB~1\super\Setup.exe /remove /q0 SUPERAntiSpyware Professional-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA} System Requirements Lab-->C:\Programme\SystemRequirementsLab\Uninstall.exe Unlocker 1.8.7-->F:\software\andere\unlocker\uninst.exe Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" VIA Plattform-Geräte-Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169} VLC media player 0.9.8a-->F:\software\videobearbeitung\vlc\uninstall.exe Windows Media Player 11 Slipstream-->C:\WINDOWS\INF\unregmp2.exe /HideWMP /SetShowState Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\amdk8_C710CEED791003E4D635992B02471584893356A0\amdk8.inf Windows-Treiberpaket - Advanced Micro Devices (AmdPPM) Processor (08/10/2007 1.0.0.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\amdppm_C66586B319F61C772BA2DAB141D0FE08F299F411\amdppm.inf Xvid 1.1.3 final uninstall-->"F:\software\videobearbeitung\xvid\Xvid\unins000.exe" ZoneAlarm-->F:\software\security\firewall\ZoneAlarm\zauninst.exe Securitycenter WMI appears to be broken ======System event log====== Computer Name: SHOCKWAVE Event Code: 26 Message: Anwendungspopup: ctfmon_pu.exe - Fehler in Anwendung: Die Anwendung konnte nicht richtig initialisiert werden (0xc0000142). Klicken Sie auf "OK", um die Anwendung zu beenden. Record Number: 17150 Source Name: Application Popup Time Written: 20090828132649.000000+120 Event Type: Informationen User: Computer Name: SHOCKWAVE Event Code: 26 Message: Anwendungspopup: ctfmon_pu.exe - Fehler in Anwendung: Die Anwendung konnte nicht richtig initialisiert werden (0xc0000142). Klicken Sie auf "OK", um die Anwendung zu beenden. Record Number: 17149 Source Name: Application Popup Time Written: 20090828132649.000000+120 Event Type: Informationen User: Computer Name: SHOCKWAVE Event Code: 26 Message: Anwendungspopup: ctfmon_pu.exe - Fehler in Anwendung: Die Anwendung konnte nicht richtig initialisiert werden (0xc0000142). Klicken Sie auf "OK", um die Anwendung zu beenden. Record Number: 17148 Source Name: Application Popup Time Written: 20090828132649.000000+120 Event Type: Informationen User: Computer Name: SHOCKWAVE Event Code: 26 Message: Anwendungspopup: ctfmon_pu.exe - Fehler in Anwendung: Die Anwendung konnte nicht richtig initialisiert werden (0xc0000142). Klicken Sie auf "OK", um die Anwendung zu beenden. Record Number: 17147 Source Name: Application Popup Time Written: 20090828132649.000000+120 Event Type: Informationen User: Computer Name: SHOCKWAVE Event Code: 26 Message: Anwendungspopup: ctfmon_pu.exe - Fehler in Anwendung: Die Anwendung konnte nicht richtig initialisiert werden (0xc0000142). Klicken Sie auf "OK", um die Anwendung zu beenden. Record Number: 17146 Source Name: Application Popup Time Written: 20090828132649.000000+120 Event Type: Informationen User: =====Application event log===== Computer Name: SHOCKWAVE Event Code: 0 Message: Record Number: 2173 Source Name: gupdate1c9c51d1c1c8788 Time Written: 20090812083915.000000+120 Event Type: Informationen User: Computer Name: SHOCKWAVE Event Code: 4096 Message: Der AntiVir Dienst wurde erfolgreich gestartet! Record Number: 2172 Source Name: Avira AntiVir Time Written: 20090812083901.000000+120 Event Type: Informationen User: NT-AUTORITÄT\SYSTEM Computer Name: SHOCKWAVE Event Code: 8 Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben. . Record Number: 2171 Source Name: crypt32 Time Written: 20090812083859.000000+120 Event Type: Fehler User: Computer Name: SHOCKWAVE Event Code: 0 Message: Record Number: 2170 Source Name: gusvc Time Written: 20090812083845.000000+120 Event Type: Informationen User: Computer Name: SHOCKWAVE Event Code: 0 Message: Record Number: 2169 Source Name: gupdate1c9c51d1c1c8788 Time Written: 20090812083845.000000+120 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;F:\software\andere\brenn-programm\isobuster;F:\software\videobearbeitung\mkvtoolnix "windir"=%SystemRoot% "FP_NO_HOST_CHECK"=NO "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 12 Stepping 0, AuthenticAMD "PROCESSOR_REVISION"=0c00 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "tvdumpflags"=8 -----------------EOF----------------- |
01.10.2009, 20:07 | #3 |
| ctfmon_pu.exe und iexplore.exe sabotieren System Habe gerade eine Meldung vom Antivir Guard bekommen:
__________________--- In der Datei 'F:\System Volume Information\_restore{397F451E-DBA8-43EE-9D46-F478331B78F5}\RP145\A0065898.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden. Ausgeführte Aktion: Zugriff verweigern --- |
01.10.2009, 20:24 | #4 |
| ctfmon_pu.exe und iexplore.exe sabotieren System Hallo gonos. Deaktivire mal die Systemwiederherstellung, starte dann den Rechner neu schalte die Systemwiederherstellung wieder ein. Was wird dann noch gefunden?? |
02.10.2009, 07:39 | #5 |
| ctfmon_pu.exe und iexplore.exe sabotieren System hab deinen Tip befolgt hausdoc, anschließen mit Antivir gescannt: ---> Ende des Suchlaufs: Freitag, 2. Oktober 2009 08:20 Benötigte Zeit: 16:08 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 2324 Verzeichnisse wurden überprüft 86726 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 36 Dateien konnten nicht durchsucht werden 86690 Dateien ohne Befall 479 Archive wurden durchsucht 39 Warnungen 164 Hinweise 307736 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden |
02.10.2009, 08:26 | #6 |
| ctfmon_pu.exe und iexplore.exe sabotieren System habe nun nach dem gestrigen Fund ('TR/Trash.Gen') nochmal Malwarebytes antimalware gestartet, Ergebnis: Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2891 Windows 5.1.2600 Service Pack 3 02.10.2009 09:32:55 mbam-log-2009-10-02 (09-32-55).txt Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|I:\|J:\|K:\|L:\|M:\|X:\|) Durchsuchte Objekte: 212885 Laufzeit: 56 minute(s), 56 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) -> Laufwerk J bis M ist ein angeschlossener Cardreader, I:\ ist ein virtuelles Laufwerk Wie soll ich jetzt vorgehen? |
04.10.2009, 09:28 | #7 |
/// Helfer-Team | ctfmon_pu.exe und iexplore.exe sabotieren System Hallo und Herzlich Willkommen! 1. Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...` Code:
ATTFilter Ask Toolbar - Adware - Toolbar Falls noch existieren: Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): Code:
ATTFilter O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
4. reinige dein System mit Ccleaner:
5. Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung... 6. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! 7. Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus: Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben - speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans |
04.10.2009, 10:34 | #8 |
| ctfmon_pu.exe und iexplore.exe sabotieren System Ersteinmal vielen Dank für die Unterstützung. Coverflow habe deine Anweiseungen befolgt, ein paar Ungereimtheiten gibt es: cleanmgr ist nicht vorhanden bzw "konnte nicht gefunden werden" hier der Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:30:37, on 04.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20978) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe F:\software\security\antivirus\Avira\AntiVir Desktop\sched.exe C:\Programme\Google\Update\GoogleUpdate.exe F:\software\security\antivirus\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE F:\software\security\firewall\ZoneAlarm\zlclient.exe F:\software\andere\java\bin\jusched.exe F:\software\security\antivirus\Avira\AntiVir Desktop\avgnt.exe F:\software\internet\ffox\firefox.exe F:\software\andere\java\bin\jucheck.exe F:\software\andere\java\bin\javaw.exe F:\software\security\trojaner board\hijack this\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = IDG Communications Media AG - das vernetzte Medienhaus - idg.de R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\software\andere\java\bin\jp2ssv.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\software\security\firewall\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\software\andere\java\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "F:\software\security\antivirus\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "F:\software\security\trojaner board\ Malwarebytes Anti-Malware \mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [uTorrent] "F:\software\internet\utorrent\utorrent.exe" O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Startup: JDownloader.exe.lnk = F:\software\internet\jddownloader\JDownloader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\software\office\MSoffice\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\software\security\antivirus\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\software\security\antivirus\Avira\AntiVir Desktop\avguard.exe O23 - Service: Google Update Service (gupdate1c9c51d1c1c8788) (gupdate1c9c51d1c1c8788) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE O23 - Service: NMSAccessU - Unknown owner - F:\software\andere\brenn-programm\BurnAware Free\nmsaccessu.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4581 bytes zwischenzeitig hatte ich Antivir suchen lassen und bekam nen Fund: ---> Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! [HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei. [HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann. Beginne mit der Suche in 'E:\' <BMS> Beginne mit der Suche in 'F:\' <programmos> F:\software\internet\jddownloader\tools\windows\kikin\kikin_installer.exe [0] Archivtyp: NSIS --> ProgramFilesDir/[UnknownDir]/components/kikin.dll.tmp [FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.Gen2 Beginne mit der Suche in 'G:\' Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden! Systemfehler [1005]: Auf dem Datenträger befindet sich kein erkanntes Dateisystem. Beginne mit der Suche in 'X:\' <Volume> Beginne mit der Desinfektion: F:\software\internet\jddownloader\tools\windows\kikin\kikin_installer.exe [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b335eed.qua' verschoben! Ende des Suchlaufs: Sonntag, 4. Oktober 2009 10:36 Benötigte Zeit: 36:12 Minute(n) onlinescann folgt. Geändert von gonos (04.10.2009 um 10:42 Uhr) |
04.10.2009, 14:30 | #9 |
| ctfmon_pu.exe und iexplore.exe sabotieren System ok, hier das online-scan Ergebnis: PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Sonntag, 4. Oktober 2009 15:34:30 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.2 Letztes Update der Antiviren-Datenbanken: 4/10/2009 Anzahl der Einträge in den Antiviren-Datenbanken: 2907770 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Arbeitsplatz C:\ D:\ E:\ F:\ G:\ I:\ J:\ K:\ L:\ M:\ X:\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 116844 Viren gefunden 1 Infizierte Objekte gefunden 3 Verdächtige Objekte gefunden 0 Untersuchungszeit 01:54:39 Name des infizierten Objekts Virusname Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\History\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\cert8.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\cookies.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\cookies.sqlite-journal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\downloads.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\key3.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\parent.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\permissions.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\places.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\search.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Temp\etilqs_AJ7ZZvFTVS7gJR1VFlcF Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\onkel o\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{397F451E-DBA8-43EE-9D46-F478331B78F5}\RP2\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\SHOCKWAVE.ldb Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\EventForwarding-Operational.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT0126e.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT01271.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen F:\software\videobearbeitung\mp4player amv\FreeFLVConverter.exe Infizierte Objekte: Trojan-Downloader.Win32.Banload.aell übersprungen F:\software\videobearbeitung\mp4player amv\Setup59_FreeFlvConverter.exe/file31 Infizierte Objekte: Trojan-Downloader.Win32.Banload.aell übersprungen F:\software\videobearbeitung\mp4player amv\Setup59_FreeFlvConverter.exe Inno: infiziert - 1 übersprungen F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen F:\System Volume Information\_restore{397F451E-DBA8-43EE-9D46-F478331B78F5}\RP2\change.log Das Objekt ist gesperrt übersprungen X:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
04.10.2009, 23:13 | #10 |
/// Helfer-Team | ctfmon_pu.exe und iexplore.exe sabotieren System hi 1. → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → *Tipps für die Suche nach Dateien* Code:
ATTFilter F:\software\videobearbeitung\mp4player amv\FreeFLVConverter.exe F:\software\videobearbeitung\mp4player amv\Setup59_FreeFlvConverter.exe/file31 F:\software\videobearbeitung\mp4player amv\Setup59_FreeFlvConverter.exe → Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1): 2.
Geändert von kira (04.10.2009 um 23:19 Uhr) |
05.10.2009, 20:09 | #11 |
| ctfmon_pu.exe und iexplore.exe sabotieren System ja servus: nr1: ---> Antivirus Version Last Update Result a-squared 4.5.0.24 2009.10.05 Trojan-Downloader.Win32.Banload!IK AhnLab-V3 5.0.0.2 2009.10.05 Win-Trojan/Banload.653704 AntiVir 7.9.1.33 2009.10.05 - Antiy-AVL 2.0.3.7 2009.10.05 - Authentium 5.1.2.4 2009.10.05 W32/Downldr2.FUAM Avast 4.8.1351.0 2009.10.04 - AVG 8.5.0.420 2009.10.04 Downloader.Banload.ALXQ BitDefender 7.2 2009.10.05 - CAT-QuickHeal 10.00 2009.10.05 TrojanDownloader.Banload.aell ClamAV 0.94.1 2009.10.05 - Comodo 2519 2009.10.05 - DrWeb 5.0.0.12182 2009.10.05 - eSafe 7.0.17.0 2009.10.05 Win32.SusComPack eTrust-Vet 31.6.6777 2009.10.05 - F-Prot 4.5.1.85 2009.10.05 W32/Downldr2.FUAM F-Secure 8.0.14470.0 2009.10.05 Trojan-Downloader.Win32.Banload.aell Fortinet 3.120.0.0 2009.10.05 - GData 19 2009.10.05 - Ikarus T3.1.1.72.0 2009.10.05 Trojan-Downloader.Win32.Banload Jiangmin 11.0.800 2009.10.05 TrojanDownloader.Banload.accs K7AntiVirus 7.10.862 2009.10.05 Trojan-Downloader.Win32.Banload.aell Kaspersky 7.0.0.125 2009.10.05 Trojan-Downloader.Win32.Banload.aell McAfee 5762 2009.10.05 Generic Downloader.x!dz McAfee+Artemis 5762 2009.10.05 Generic Downloader.x!dz McAfee-GW-Edition 6.8.5 2009.10.05 Heuristic.LooksLike.Win32.SuspiciousPE.J Microsoft 1.5101 2009.10.05 TrojanDownloader:Win32/Troxen!rts NOD32 4482 2009.10.05 probably a variant of Win32/TrojanDownloader.Agent Norman 6.01.09 2009.10.05 W32/DLoader.UUNI nProtect 2009.1.8.0 2009.10.05 - Panda 10.0.2.2 2009.10.05 Trj/CI.A PCTools 4.4.2.0 2009.10.05 - Prevx 3.0 2009.10.05 - Rising 21.49.22.00 2009.09.30 - Sophos 4.45.0 2009.10.05 - Sunbelt 3.2.1858.2 2009.10.05 Trojan.Win32.Generic!BT Symantec 1.4.4.12 2009.10.05 Downloader TheHacker 6.5.0.2.029 2009.10.05 - TrendMicro 8.950.0.1094 2009.10.05 - VBA32 3.12.10.11 2009.10.05 suspected of Trojan-Downloader.VB.28 ViRobot 2009.10.5.1970 2009.10.05 - VirusBuster 4.6.5.0 2009.10.05 Trojan.DL.Banload.AQWI Additional information File size: 653704 bytes MD5...: b1f14c8381adabf6870c4ac0e96ed11e SHA1..: a58ec02197d367cd215cfc6648dd8e279c43ef98 SHA256: 8e1c628d1a6463123ac9ebe322b92d7bb6b11ecbddf7b1bf812d15ac5403c80b ssdeep: 12288:CFniJozL5IViK6D+77s5DBRzOsOJziJCIWmypUcWLASdrCvSq5:IiJyuf6 DuYvRjczWCIWmypUcWs6d6 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1ce000 timedatestamp.....: 0x4926c89e (Fri Nov 21 14:41:34 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1be014 0x83000 7.98 4a86a9e486b98350463d709ac25d8c7d .data 0x1c0000 0xb084 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x1cc000 0x2000 0x2000 2.78 f872462979fe5164b7b7cb79a3530beb .perplex 0x1ce000 0x18988 0x18988 7.95 a8b2c89a283ab0d620609c96e683eec1 ( 1 imports ) > USER32.DLL: MessageBoxA ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: publisher....: Koyote Soft copyright....: Koyote Soft - 2008 product......: Tube Finder - Free FLV Converter description..: Tube Finder - Free FLV Converter original name: FreeFLVConverter.exe internal name: FreeFLVConverter file version.: 5.09 comments.....: TubeFinder - Free FLV Converter signers......: - signing date.: - verified.....: Unsigned nr.3 (die zweite: Setup59_FreeFlvConverter.exe/file31 wird nicht angenommen -> VirusTotal sagt "Dateiname ist Ungültig") --> Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.10.05 - AhnLab-V3 5.0.0.2 2009.10.05 - AntiVir 7.9.1.33 2009.10.05 - Antiy-AVL 2.0.3.7 2009.10.05 - Authentium 5.1.2.4 2009.10.05 - Avast 4.8.1351.0 2009.10.04 - AVG 8.5.0.420 2009.10.04 - BitDefender 7.2 2009.10.05 - CAT-QuickHeal 10.00 2009.10.05 - ClamAV 0.94.1 2009.10.05 - Comodo 2519 2009.10.05 - DrWeb 5.0.0.12182 2009.10.05 - eSafe 7.0.17.0 2009.10.05 - eTrust-Vet 31.6.6777 2009.10.05 - F-Prot 4.5.1.85 2009.10.05 - F-Secure 8.0.14470.0 2009.10.05 Trojan-Downloader.Win32.Banload.aell Fortinet 3.120.0.0 2009.10.05 - GData 19 2009.10.05 - Ikarus T3.1.1.72.0 2009.10.05 - Jiangmin 11.0.800 2009.10.05 - K7AntiVirus 7.10.862 2009.10.05 - Kaspersky 7.0.0.125 2009.10.05 Trojan-Downloader.Win32.Banload.aell McAfee 5762 2009.10.05 - McAfee+Artemis 5762 2009.10.05 - McAfee-GW-Edition 6.8.5 2009.10.05 - Microsoft 1.5101 2009.10.05 TrojanDownloader:Win32/Troxen!rts NOD32 4482 2009.10.05 probably a variant of Win32/TrojanDownloader.Agent Norman 6.01.09 2009.10.05 - nProtect 2009.1.8.0 2009.10.05 - Panda 10.0.2.2 2009.10.05 Trj/CI.A PCTools 4.4.2.0 2009.10.05 - Prevx 3.0 2009.10.05 - Rising 21.49.22.00 2009.09.30 - Sophos 4.45.0 2009.10.05 - Sunbelt 3.2.1858.2 2009.10.05 - Symantec 1.4.4.12 2009.10.05 - TheHacker 6.5.0.2.029 2009.10.05 - TrendMicro 8.950.0.1094 2009.10.05 - VBA32 3.12.10.11 2009.10.05 - ViRobot 2009.10.5.1970 2009.10.05 - VirusBuster 4.6.5.0 2009.10.05 Trojan.DL.Banload.AQWI weitere Informationen File size: 6118206 bytes MD5...: 01d5c352b3d539a27105063e38394f91 SHA1..: 5ef9e5c15a2cbd5778c6ee9948a7c1a93a54e8d0 SHA256: b35c05af944356b8aabbec746c81098ad26aa21cb631a6543036cd11d48d6041 ssdeep: 98304:MqZj7I74R42vAM4OPABOf1Et5zeAjZmdwZKnmEXCOaUIDKzTe0kKVE3OQY +ZghGG:Zj7IuoM4OYA1+5zeANqmWZIDAmKVOOQE PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x9a54 timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x916c 0x9200 6.56 f9c9dd3f4dceede0add0e7309253e897 DATA 0xb000 0x24c 0x400 2.73 4a56e30ca4646e6369d96abeacb0e6f0 BSS 0xc000 0xe48 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0xd000 0x950 0xa00 4.43 bb5485bf968b970e5ea81292af2acdba .tls 0xe000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0xf000 0x18 0x200 0.20 9ba824905bf9c7922b6fc87a38b74366 .reloc 0x10000 0x8b4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x11000 0x2a00 0x2a00 4.43 27a267fd3c26b4a07960886144a5cc88 ( 8 imports ) > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetSystemTime, GetFileType, ExitProcess, CreateFileA, CloseHandle > user32.dll: MessageBoxA > oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA > kernel32.dll: WriteFile, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, Sleep, SizeofResource, SetLastError, SetFilePointer, SetErrorMode, SetEndOfFile, RemoveDirectoryA, ReadFile, LockResource, LoadResource, LoadLibraryA, IsDBCSLeadByte, GetWindowsDirectoryA, GetVersionExA, GetUserDefaultLangID, GetSystemInfo, GetSystemDefaultLCID, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetCurrentProcess, GetCommandLineA, GetACP, InterlockedExchange, FormatMessageA, FindResourceA, DeleteFileA, CreateProcessA, CreateFileA, CreateDirectoryA, CloseHandle > user32.dll: TranslateMessage, SetWindowLongA, PeekMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadStringA, ExitWindowsEx, DispatchMessageA, DestroyWindow, CreateWindowExA, CallWindowProcA, CharPrevA > comctl32.dll: InitCommonControls > advapi32.dll: AdjustTokenPrivileges ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: InstallShield setup (65.9%) Win32 Executable Generic (13.0%) Win32 Dynamic Link Library (generic) (11.6%) Win16/32 Executable Delphi generic (3.1%) Generic Win/DOS Executable (3.0%) packers (Kaspersky): ASPack, Swf2Swc, Swf2Swc sigcheck: publisher....: Koyote Soft copyright....: Koyote Soft product......: n/a description..: Free FLV Converter Setup original name: n/a internal name: n/a file version.: comments.....: This installation was built with Inno Setup. signers......: - signing date.: - verified.....: Unsigned hier der Log: ---> SUPERAntiSpyware Scan Log SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware! Generated 10/05/2009 at 09:08 PM Application Version : 4.29.1002 Core Rules Database Version : 4146 Trace Rules Database Version: 2076 Scan type : Complete Scan Total Scan Time : 00:16:52 Memory items scanned : 522 Memory threats detected : 0 Registry items scanned : 4271 Registry threats detected : 0 File items scanned : 8799 File threats detected : 3 Adware.Tracking Cookie C:\Dokumente und Einstellungen\onkel o\Cookies\onkel_o@doubleclick[1].txt C:\Dokumente und Einstellungen\onkel o\Cookies\onkel_o@kaspersky.122.2o7[1].txt C:\Dokumente und Einstellungen\onkel o\Cookies\onkel_o@atdmt[1].txt Im Nachhinein macht mich die "59" an der "Setup59_FreeFlvConverter.exe" stutzig. Ich lade Programme gewöhnlich bei chip, pcwelt oder zdnet, manchmal softonic. Ich halte die für Vertrauenswürdig. Könnte es sein, dass die Datei nach dem Download infiziert wurde ("59")? Der Converter funktioniert übrigens problemlos. |
06.10.2009, 18:26 | #13 |
| ctfmon_pu.exe und iexplore.exe sabotieren System per CCleaner taucht folgender Eintrag nach dem Bereinigen der Registrierung immer wieder auf : ------------ Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} ------------ könnte das verdächtig sein? 1. Welche Vorgehensweise würdest du mir im weiteren empfehlen? So wie ich es sehe hab ich nen Trojandownloader eingefangen, und die gängige Empfehlung lautet Neuaufsetzen des Systems (z.b. laut System nach Infektion neu aufsetzen) 2. ich weis nicht ob es mit Malware zusammenhängt aber ich poste es einfach mal: meine Internetverbindung bricht in unregelmäßigen Zeitabständen zusammen. Nach ein paar Sekunden läufts dann wieder. Manchmal ist auch ein DHCP-Client-Neustart nötig damit die Verbindung wieder aufgebaut wird. Angeschlossen ans Netz über RTL816/8110 Ethernet NIC per Netzwerkkabel über Kabelmodem (Motorola) 3. Ich probiere öfters neue Programme aus (ich weis muss nicht unbedingt sein, ist aber trotzdem interressant), wie könnte ich dabei meine Sicherheit erhöhen, wäre Sandboxie eine Möglichkeit, sollte man gleich auch Firefox und Thunderbird darin betreiben? 4. wäre es besser Zonealarm durch die Windowsfirewall zu ersetzen? |
06.10.2009, 19:27 | #14 | ||||
/// Helfer-Team | ctfmon_pu.exe und iexplore.exe sabotieren SystemZitat:
Zitat:
Zitat:
Dieses Problem vor dem Befall auch schon aufgetreten? Zitat:
Sandboxie kann auch nicht viel tun, wenn man:
** Ausserdem: Normalerweise sollte bei einer Deinstallation ziemlich alles entfernt werden,was aber bei den meisten nicht der Fall ist bzw Resteinträge bleiben immer zurück Nach einige Zeit besteht dann das Risiko, so dass dein System nicht mehr korrekt funktioniert Es gilt für alle Programme, aber besonders für Firewall & Antiviren-Software, weil sie eben sehr tief ins System eingreifen müssen! Zone Alarm verlangsamt eigentlich das System erheblich, macht oft auch Probleme und wenn Du mit die richtige Einstellung & Konfiguration klar kommst, kann`s zu Probleme kommen - Malwarebytes Anti-Malware und SUPERAntiSpyware - nicht mehr nötig, deinstallieren - Kannst Du aus dem Autostart herausnehmen oder mit HijackThis fixen: "Start→ ausführen→ "msconfig" (reinschreiben ohne ""→ OK" - it-academy.cc - pqtuning.de Einfach dort den Haken herausnehmen, dann die Programme starten nicht mehr automatisch. (oder mit HijackThis fixen) Du kannst aber jeder zeit manuell starten - (nach deinen Bedürfnissen anpassen, es ist immer Benutzerspezifisch,ein allgemein gültiges Rezept gibt es nicht) Wird noch nach dem nächsten Neustart wieder ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten` mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code:
ATTFilter O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\software\andere\java\bin\jusched.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "F:\software\security\trojaner board\ Malwarebytes Anti-Malware \mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe O4 - HKCU\..\Run: [uTorrent] "F:\software\internet\utorrent\utorrent.exe" O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') Geändert von kira (06.10.2009 um 19:41 Uhr) |
06.10.2009, 20:18 | #15 |
| ctfmon_pu.exe und iexplore.exe sabotieren System Das Problem mit der Netzverbindung besteht schon immer. naja das Kabel ist auch ca. 12 Meter lang. Ich werde dann demnächst neu aufsetzen, . und mein Sicherheitskonzept überdenken es gibt ja genug Informationen hier... eine Frage noch: wie könnte man am besten seine Daten-sammlung (mp3/Bilder/Dokumente) auf malwarefreiheit prüfen (zumindest teilweise), schließlich will man ja seine ganzen Fotos nicht schreddern. |
Themen zu ctfmon_pu.exe und iexplore.exe sabotieren System |
1.exe, antivir guard, antivirus, ask toolbar, askbar, avgntflt.sys, avira, browser, cpu, desktop, einstellungen, excel, gupdate, helper, hijack.help, hijack.startpage, hijackthis, hkus\s-1-5-18, http://www.google.com, iexplore.exe, internet, internet explorer, jusched.exe, malwarebytes anti-malware, monitor, plug-in, problem, realtek, registrierungsschlüssel, registry, rundll, security.hijack, server, software, spyware.onlinegames, system, taskmanager, trojaner, trojaner board, virtual machine, windows xp |