| |
| |||||||
Log-Analyse und Auswertung: TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer DesktopWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
14.06.2011, 19:52
| #1 |
| |  TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Hallo, habe ein Problem mit Windwos 7 auf Laptop meines Vaters, sonst wärs ja zu einfach. Ich hoffe/befürchte dass ich mir Schadsoftware eingefangen habe, und nicht die Festplatte defekt ist. Habe dieses Forum über Google gefunden und gesehen, das ich anscheinend nicht alleine mit einem solchen Problem bin. Antivir hat beim surfen im Internet den "TR/Fakealert.ov" ausgespuckt, hab dann auf entfernen gedrückt. Die Meldung kam aber bald wieder. "Malware gefunden in der Datei C/ProgrammData/25943800.exe Meldung Festplatte beschädigt erschein in einem Fenster "Das System hat ein Problem mit einem oder mehreren installierten IDE/SATA-Festplatten erkannt. Es wird empfohlen, das System neu zu starten. Neustart ist keine Abhilfe. Laptop startet neu, bringt kritischen Fehler und startet Windows7 Resore/Diagnostics dies bringt 5 Critical errors: -Hard drive doesn´t respond to system commands -Boot sector of de hard drive disk is damaged -Read time of hard drive clusters less than 500 ms -Bad sectors on hard drive on damaged file allocation table -34% of HDD space is unreadable Der Desktop ist schwarz, kann Explorer öffnen, sagt aber, dass die Ordner leer sind. Habe bereits "OTL.exe" runter geladen und von USB-Stick über Laptop laufen lassen. Jetzt seit Ihr meine letzte Hoffnung. Bin ein eher unbedarfer Anwender und heil froh wenn alles läuft...was es jetzt grand nicht mehr tut :-( Schon mal im Voraus vielen vielen Dank |
|
15.06.2011, 11:05
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer DesktopZitat:
 Incredimail ist zwar bunt und nett animiert, aber leider als Spyware einzustufen, da es das Nutzerverhalten analysiert und diese an den Hersteller übermittelt. Ich kann nur die sofortige Deinstallation und Umstieg auf einen anderen Mailclient wie zB Mozilla Thunderbird empfehlen. Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code:
ATTFilter :OTL
PRC - C:\ProgramData\25943800.exe ()
PRC - C:\ProgramData\ECXHYIMSihMUVK.exe (Microsoft Corporation)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll (Spigot, Inc.)
O2 - BHO: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Foxit Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKCU\..\Toolbar\WebBrowser: (IncrediMail MediaBar 2 Toolbar) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - C:\Program Files\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)
O4 - HKLM..\Run: [] File not found
O4 - HKCU..\Run: [AdobeBridge] File not found
O4 - HKCU..\Run: [Run] File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - Unable to obtain root file information for disk F:\
O33 - MountPoints2\{1a2e0eac-0c38-11df-ad1c-001f2998b61c}\Shell - "" = AutoRun
O33 - MountPoints2\{1a2e0eac-0c38-11df-ad1c-001f2998b61c}\Shell\AutoRun\command - "" = G:\RunGame.exe
[2011.06.14 12:00:24 | 000,000,238 | -H-- | M] () -- C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2011.06.13 15:39:23 | 000,000,392 | -H-- | M] () -- C:\ProgramData\25943800
[2011.06.13 15:36:50 | 000,000,128 | -H-- | M] () -- C:\ProgramData\~25943800r
[2011.06.13 15:36:50 | 000,000,112 | -H-- | M] () -- C:\ProgramData\~25943800
[2011.06.13 15:35:37 | 000,000,633 | -H-- | M] () -- C:\Users\Maxi\Desktop\Windows 7 Restore.lnk
[2011.06.13 15:35:30 | 000,379,904 | -H-- | M] () -- C:\ProgramData\25943800.exe
[2011.06.13 12:59:15 | 000,477,184 | -H-- | M] (Microsoft Corporation) -- C:\ProgramData\ECXHYIMSihMUVK.exe
:Files
C:\Program Files\Common Files\Spigot
C:\ProgramData\2*.exe
C:\ProgramData\~*.exe
C:\ProgramData\ECXHYIMSihMUVK.exe
:Commands
[purity]
[resethosts]
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. Stell uns bitte danach den Quarantäneordner von OTL zur Verfügung. Bitte dabei so vorgehen: 1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht behindern! 2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen 3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html 4.) Wenns erfolgreich war Bescheid sagen 5.) Erst dann wieder den Virenscanner einschalten
__________________ |
|
17.06.2011, 16:28
| #3 |
| | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Hallo,
__________________schon mal großes Dankeschön, bin den Anweisungen gefolgt und lade die erstellte Datei hoch. Ist schon ein wenig besser geworden. Beim Starten bringt er nicht mehr das Diagnoseprogamm "Resore/Diagnostics" und auch bringt er keine Meldung wegen der "defekten Festplatte mehr. Allerdings bringt er mir immer noch eine Meldung in einem Fenster: Data Already In Use The data required by Logitech Desktop Messenger is still engaged by user Maxi on MAXI-PC. Diese Meldung lässt sich nicht dauerhaft beenden, weder mit Exit noch mit Proceed here instead. Der Desktop ist immer noch schwarz und wenn ich in Windwos Startmenü/ alle Programme aufrufe, dann sagt er "leer". Ebenso sind auf dem Laufwerk E zwar Daten drauf (zeigt zumindest an, das das Laufwerk nicht leer ist) aber nicht sichtbar. Mit dem Incredimail rennst Du offene Türen ein, danke für den Hinweis (ist mir eigentlich zu lahm, hab für mich noch einen 9 Jahre alten PC, der mehr als auf dem Zahnfleisch dahergeht.) Werde mir das Mailprogramm im Anschluss vornehmen, aber bisher ist Incredimail bei meinem Vater gut gelaufen... und wer weiß wie ich das andere wieder hin bekomm... Bitte um weitere Hilfe, damit Vater an seinen PC kann. Schon mal vielen Dank Gruß Christine |
|
17.06.2011, 16:39
| #4 |
| | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Jetzt hoff ich dass die Datei auch dabei ist Gruß |
|
19.06.2011, 21:34
| #5 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.  Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )  Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
20.06.2011, 19:35
| #6 |
| | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Hallo, Danke für die große Hilfe. Bin schon recht glücklich (und mein Vater erst, da der PC soweit wieder läuft), die Frage ist nur ob der PC jetzt soch ungezieferfrei ist. Hab den TDSSKiller runter geladen, auf Desktop gespeichert, aber es lässt sich nicht ausführen (auch nicht mit rechter Maustaste und als Admin ausführen.) Habe das Wochenende den AntiVir eine Systemprüfung machen lassen: hat 44 Funde gemeldet. Bin dann auf entfernen gegangen; hat dann 42 davon löschen können. Die Unhide.exe hab ich ebenfalls am Wochenende ausgeführt (hab ich bei einem ähnlichen Problem gelesen...und Vater hat schon genervt...) allerdings hab ich nicht downgeloadet und auf desktop kopiert, sondern direkt ausgeführt. Hatte relativ guten erfolg (Die Daten kann ich wieder sehen und die Programme laufen auch wieder wie gewohnt, nur das Startmenue vom Windows sagt immer noch "leer" wenn ich von dort aus was starten möchte) Die unhide.exe kann ich nicht downloaden, sagt immer, das es nicht komplett runtergeladen wurde. Bitte um Tipp was ich mit dem TDSSKiller anstellen kann damit der läuft (hab Win7) Vielen vielen Dank Gruß Christine |
|
20.06.2011, 20:31
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Dann dürfte da noch was sein. mach mal ein Log mit CF, den tdsskiller probieren wir danach nochmal (falls nötig) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.06.2011, 10:19
| #8 |
| | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Hallo, habe immer noch ein Problem. Combofix runtergeladen auf Desctop kopiert und umbenannt; Antivier; Firewall und iExplorer ausgeschaltet. Doppelklick auf confi.exe, dann startete ein DOS-Fenster darin stand, dass alles vorbereitet werde. dann erschien die Meldung, das "pev.cfxxe" nicht mehr funktioniert. Das Programm wird aufgrund eines Problems nicht richtig ausgeführt. Das Programm wird geschlossen und Sie werden benachrichtigt, wenn eine Lösung verfügbar ist. Jetzt kann ich nur noch "Programm schließen" drücken. Würde mich über weitere Hilfe freuen, oder soll alles mögliche runtersichern und dann den PC neu aufsetzten? Das möcht ich aber nicht unbedingt. DANKE Gruß |
|
23.06.2011, 10:34
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Starte Windows neu, lösch die alte cofi.exe, lade CF neu als cofi.exe runter und probier es bitte nochmal.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.06.2011, 22:09
| #10 |
| | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Hallo, hat geklappt. Allerdings hat CF mir den PC neugestartet. Beim Neustart hat sich Avira wieder eingeschaltet und gleich was gefunden unter "C/Users/Maxi/AppData/Local/...indes[1] htm "HTML/FakeAV.SS" Dann hat auch gleich Windows gemeckert... Hab PC runtergefahren und wieder neu gestartet. Jetzt war zwar die Verknüpfung zum IExplorer weg, aber es hat nichts mehr gemeckert. Hier nun der Inhalt der Combofix.txt Combofix Logfile: Code:
ATTFilter ComboFix 11-06-23.01 - Maxi 23.06.2011 22:08:00.1.1 - x86
Microsoft Windows 7 Ultimate 6.1.7600.0.1252.49.1033.18.2039.1375 [GMT 2:00]
ausgeführt von:: c:\users\Maxi\Desktop\Downloads\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Outdated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\program files\Setup.exes
c:\users\Maxi\AppData\Local\Temp\IadHide4.dll
F:\Autorun.inf
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-05-23 bis 2011-06-23 ))))))))))))))))))))))))))))))
.
.
2011-06-23 09:00 . 2011-06-23 09:00 -------- d-----w- C:\confi
2011-06-23 09:00 . 2011-06-23 20:03 -------- d-----w- C:\32788R22FWJFW
2011-06-21 18:52 . 2011-06-07 15:55 7074640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{BA23CE7A-C9CC-4AF9-AB77-5CD2B01A1E1D}\mpengine.dll
2011-06-17 21:30 . 2011-06-17 21:31 -------- d-----w- c:\windows\system32\SPReview
2011-06-17 21:30 . 2011-06-17 21:30 -------- d-----w- c:\windows\system32\EventProviders
2011-06-17 14:13 . 2011-06-17 14:13 -------- d-----w- c:\program files\7-Zip
2011-06-17 13:54 . 2011-04-29 02:57 311296 ----a-w- c:\windows\system32\drivers\srv.sys
2011-06-17 13:54 . 2011-04-29 02:57 309760 ----a-w- c:\windows\system32\drivers\srv2.sys
2011-06-17 13:54 . 2011-04-29 02:57 114176 ----a-w- c:\windows\system32\drivers\srvnet.sys
2011-06-17 13:54 . 2011-04-25 04:56 1286016 ----a-w- c:\windows\system32\drivers\tcpip.sys
2011-06-17 13:54 . 2011-04-25 02:35 338944 ----a-w- c:\windows\system32\drivers\afd.sys
2011-06-17 13:54 . 2011-05-03 04:50 740864 ----a-w- c:\windows\system32\inetcomm.dll
2011-06-17 13:54 . 2011-04-27 02:33 78336 ----a-w- c:\windows\system32\drivers\dfsc.sys
2011-06-17 13:54 . 2010-12-18 05:31 571904 ----a-w- c:\windows\system32\oleaut32.dll
2011-06-17 13:54 . 2011-01-17 05:38 161792 ----a-w- c:\windows\system32\d3d10_1.dll
2011-06-17 13:53 . 2011-05-04 02:43 222720 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2011-06-17 13:53 . 2011-05-04 02:43 96256 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2011-06-17 13:53 . 2011-05-04 02:43 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-06-16 21:40 . 2011-06-17 14:23 -------- d-----w- C:\_OTL
2011-06-16 21:33 . 2011-06-14 17:34 580608 ----a-w- C:\OTL.exe
2011-06-16 21:02 . 2011-06-16 21:02 -------- d-----w- c:\users\Maxi\AppData\Roaming\Avira
2011-06-15 18:37 . 2011-06-15 18:37 0 ----a-w- c:\users\Maxi\AppData\Local\BITA4A9.tmp
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-24 17:14 . 2010-01-15 15:25 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-05-04 02:52 . 2010-10-14 20:10 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-04-22 19:36 . 2011-05-24 19:32 26496 ----a-w- c:\windows\system32\drivers\Diskdump.sys
2011-04-09 06:13 . 2011-05-11 15:26 3957632 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-04-09 06:13 . 2011-05-11 15:26 3901824 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-04-09 05:56 . 2011-05-24 19:32 123904 ----a-w- c:\windows\system32\poqexec.exe
2010-05-21 14:05 . 2010-05-21 14:05 3099648 ----a-w- c:\program files\openofficeorg32.msi
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2010-01-25 20480]
"BitTorrent DNA"="c:\users\Maxi\Program Files\DNA\btdna.exe" [2010-03-27 323392]
"Pando Media Booster"="c:\program files\Pando Networks\Media Booster\PMB.exe" [2010-03-26 2937528]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2011-04-07 353736]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-02-21 1183744]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-04 281768]
"Performance Center"="c:\program files\Ascentive\Performance Center\APCMain.exe" [2009-04-21 3239936]
"PC SpeedScan Pro"="c:\program files\Ascentive\PC SpeedScan Pro\PCSpeedScan.exe" [2009-12-07 2179072]
"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2010-01-27 1312848]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-23 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-23 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-23 150552]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"BrMfcWnd"="c:\program files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-23 663552]
"ControlCenter3"="c:\program files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"ConnectionCenter"="c:\program files\Citrix\ICA Client\concentr.exe" [2010-10-12 304568]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
.
c:\users\Maxi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"ConsentPromptBehaviorAdmin"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2010-01-29 21:17 64592 ----a-w- c:\program files\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan.lnk
backup=c:\windows\pss\McAfee Security Scan.lnk.CommonStartup
backupExtension=.CommonStartup
.
R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-04-13 721904]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-22 135664]
R3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-22 135664]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [2009-11-25 34384]
R3 WSDPrintDevice;WSD Print Support via UMB;c:\windows\system32\DRIVERS\WSDPrint.sys [2009-07-14 17920]
R4 wlcrasvc;Windows Live Devices remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-07-31 49504]
S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [2010-07-14 65584]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-04-28 136360]
S2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2011-05-06 393112]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - SSMDRV
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-22 14:41]
.
2011-06-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-22 14:41]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = localhost
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - (no file)
HKCU-Run-ECXHYIMSihMUVK - c:\programdata\ECXHYIMSihMUVK.exe
HKLM-Run-SearchSettings - c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe
AddRemove-Allianz AMIS AVW - D:\start.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-1386194434-245477122-2751725893-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\program files\Citrix\ICA Client\ssonsvr.exe
c:\windows\system32\AEADISRV.EXE
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\conhost.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PSIService.exe
c:\windows\system32\taskhost.exe
c:\program files\Common Files\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Internet Explorer\IEXPLORE.EXE
c:\windows\system32\conhost.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Brother\ControlCenter3\brccMCtl.exe
c:\program files\Brother\Brmfcmon\BrMfimon.exe
c:\program files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Citrix\ICA Client\WFCRUN32.EXE
c:\program files\IncrediMail\Bin\ImApp.exe
c:\windows\system32\sppsvc.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-06-23 22:28:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-06-23 20:28
.
Vor Suchlauf: 19 Verzeichnis(se), 59.448.991.744 Bytes frei
Nach Suchlauf: 32 Verzeichnis(se), 59.711.991.808 Bytes frei
.
- - End Of File - - D23CB7E8FE264380CEF5D1E4F32A0724
|
|
24.06.2011, 08:46
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
28.06.2011, 20:58
| #12 |
| | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Hallo, hab das jetzt alles so drüberlaufen lassen, hoffe das hat alles so geklappt. Hier die Ergebnisse. die OSAM lässt sich leider nicht hochladen. Kopier se jetzt einfach rein, ich hoffe das geht auch. Gruß Christine _______________________________________________________ OSAM Logfile: Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 21:34:28 on 28.06.2011 OS: Windows 7 Ultimate Edition (Build 7600), 32-bit Default Browser: Microsoft Corporation Internet Explorer 9.00.8112.16421 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened filesa [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskMachineCore.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskMachineUA.job" - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe [Control Panel Objects] -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "Pando" - "Pando Networks" - C:\Program Files\Pando Networks\Media Booster\PMB.cpl "PROSet Tools" - "Intel(R) Corporation" - C:\Program Files\Intel\WiFi\bin\iproset.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "adfs" (adfs) - ? - C:\Windows\system32\drivers\adfs.sys (File not found) "avgio" (avgio) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avgio.sys "avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys "avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys "catchme" (catchme) - ? - C:\Users\Maxi\AppData\Local\Temp\catchme.sys (File not found) "Citrix USB Monitor Driver" (ctxusbm) - "Citrix Systems, Inc." - C:\Windows\System32\DRIVERS\ctxusbm.sys "EagleNT" (EagleNT) - ? - C:\Users\Maxi\AppData\Local\Temp\EagleNT.sys (File not found) "kxldypod" (kxldypod) - ? - C:\Users\Maxi\AppData\Local\Temp\kxldypod.sys (Hidden registry entry, rootkit activity | File not found) "sptd" (sptd) - "Duplex Secure Ltd." - C:\Windows\System32\Drivers\sptd.sys "ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys [Explorer] -----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )----- {2C7339CF-2B09-4501-B3F3-F3508C9228ED} "Themes Setup" - "Microsoft Corporation" - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {CFB6322E-CC85-4d1b-82C7-893888A236BC} "IcaMimeFilterPP Class" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\IcaMimeFilter.dll {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler )----- {E31004D1-A431-41B8-826F-E902F9D95C81} "Windows DreamScene" - ? - (File not found | COM-object registry key not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {23170F69-40C1-278A-1000-000100020000} "7-Zip Shell Extension" - "Igor Pavlov" - C:\Program Files\7-Zip\7-zip.dll {D8D1CE8C-B1EB-4E95-B63B-1531BA60E992} "DivX Property Handler" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXPropertyHandler.dll {83238FAE-D346-4E12-8734-D42F7554B3E6} "DivX Thumbnail Provider" - "DivX, Inc." - C:\Program Files\DivX\DivX Plus Media Foundation Components\DivXThumbnailProvider.dll {DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C} "KbLogiExt Class" - "Logitech, Inc." - C:\Program Files\Logitech\SetPointP\kbcplext.dll {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll {45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll Logitech Setpoint Extension "{B9B9F083-2B04-452A-8691-83694AC1037B}" - ? - (File not found | COM-object registry key not found) [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {4871A87A-BFDD-4106-8153-FFDE2BAC2967} "DLM Control" - "Akamai Technologies, Inc." - C:\Windows\DOWNLO~1\DOWNLO~1.OCX / hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.7.cab {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_26" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_26.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10k.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live ID Sign-in Helper" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [LSA Providers] -----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )----- "Security Packages" - "Microsoft Corp." - C:\Windows\system32\livessp.dll [Logon] -----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\Users\Maxi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini "OpenOffice.org 3.2.lnk" - ? - C:\Program Files\OpenOffice.org 3\program\quickstart.exe (Shortcut exists | File found, but it contains no detailed information | File exists) -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "BitTorrent DNA" - "BitTorrent, Inc." - "C:\Users\Maxi\Program Files\DNA\btdna.exe" "IncrediMail" - "IncrediMail, Ltd." - C:\Program Files\IncrediMail\bin\IncMail.exe /c "LDM" - "Logitech" - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe "Pando Media Booster" - ? - C:\Program Files\Pando Networks\Media Booster\PMB.exe -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" "avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min "BrMfcWnd" - "Brother Industries, Ltd." - C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN "ConnectionCenter" - "Citrix Systems, Inc." - "C:\Program Files\Citrix\ICA Client\concentr.exe" /startup "ControlCenter3" - "Brother Industries, Ltd." - C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun "EvtMgr6" - "Logitech, Inc." - C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming "PC SpeedScan Pro" - ? - C:\Program Files\Ascentive\PC SpeedScan Pro\PCSpeedScan.exe -m "Performance Center" - "Ascentive" - C:\Program Files\Ascentive\Performance Center\APCMain.exe -m "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" [Network Providers] -----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )----- "Citrix Single Sign-on" - "Citrix Systems, Inc." - C:\Program Files\Citrix\ICA Client\pnsson.dll [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "@%SystemRoot%\System32\themeservice.dll,-8192" (Themes) - "Microsoft Corporation" - C:\Windows\system32\themeservice.dll "Adobe Acrobat Update Service" (AdobeARMservice) - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe "Application Updater" (Application Updater) - "Spigot, Inc." - C:\Program Files\Application Updater\ApplicationUpdater.exe "Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe "Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe "Google Update Service (gupdate)" (gupdate) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe "Google Update-Dienst (gupdatem)" (gupdatem) - "Google Inc." - C:\Program Files\Google\Update\GoogleUpdate.exe "Intel(R) PROSet/Wireless Event Log" (EvtEng) - "Intel(R) Corporation" - C:\Program Files\Intel\WiFi\bin\EvtEng.exe "Intel(R) PROSet/Wireless Registry Service" (RegSrvc) - "Intel(R) Corporation" - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe "Logitech Bluetooth Service" (LBTServ) - "Logitech, Inc." - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE "PnkBstrA" (PnkBstrA) - ? - C:\Windows\system32\PnkBstrA.exe (File found, but it contains no detailed information) "ProtexisLicensing" (ProtexisLicensing) - ? - C:\Windows\system32\PSIService.exe "Windows Live ID Sign-in Assistant" (wlidsvc) - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE [Winlogon] -----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )----- "LBTWlgn" - "Logitech, Inc." - c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "WindowsLive Local NSP" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL "WindowsLive NSP" - "Microsoft Corp." - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru ___________________________________________________________ GMER Logfile: Code:
ATTFilter GMER 1.0.15.15640 - hxxp://www.gmer.net
Rootkit scan 2011-06-28 21:23:15
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-2 FUJITSU_MHZ2160BH_G2 rev.8909
Running: qio6cc2r.exe; Driver: C:\Users\Maxi\AppData\Local\Temp\kxldypod.sys
---- System - GMER 1.0.15 ----
SSDT 8E9FBF3E ZwCreateSection
SSDT 8E9FBF43 ZwSetContextThread
SSDT 8E9FBEDF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13BD 82C54569 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82C79092 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!RtlSidHashLookup + 340 82C80950 4 Bytes [3E, BF, 9F, 8E]
.text ntkrnlpa.exe!RtlSidHashLookup + 6E0 82C80CF0 4 Bytes [43, BF, 9F, 8E]
.text ntkrnlpa.exe!RtlSidHashLookup + 7B8 82C80DC8 4 Bytes [DF, BE, 9F, 8E]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!EnableWindow 76F8A72E 5 Bytes JMP 6E3E98BC C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!DialogBoxIndirectParamW 76FB4AA7 5 Bytes JMP 6E535E86 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!DialogBoxParamW 76FB564A 5 Bytes JMP 6E3415E3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!DialogBoxParamA 76FCCF6A 5 Bytes JMP 6E535E21 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!DialogBoxIndirectParamA 76FCD29C 5 Bytes JMP 6E535EEB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!MessageBoxIndirectA 76FDE8C9 5 Bytes JMP 6E535DA8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!MessageBoxIndirectW 76FDE9C3 5 Bytes JMP 6E535D2F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!MessageBoxExA 76FDEA29 5 Bytes JMP 6E535CCB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] USER32.dll!MessageBoxExW 76FDEA4D 5 Bytes JMP 6E535C67 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] WININET.dll!HttpAddRequestHeadersA 76BA1B9C 5 Bytes JMP 00336A90
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1564] WININET.dll!HttpAddRequestHeadersW 76BEF7A8 5 Bytes JMP 00336C90
.text C:\Program Files\Pando Networks\Media Booster\PMB.exe[2204] kernel32.dll!SetUnhandledExceptionFilter 76D03162 5 Bytes [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4}
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] kernel32.dll!CreateThread 76D0281D 5 Bytes JMP 6E3A71CB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!EnableWindow 76F8A72E 5 Bytes JMP 6E3E98BC C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!UnhookWindowsHookEx 76F8CC7B 5 Bytes JMP 6E42E9F8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!CallNextHookEx 76F8CC8F 5 Bytes JMP 6E407A3F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!DefWindowProcA 76F8E0E4 7 Bytes JMP 6E3A93F5 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!CreateWindowExA 76F8E18A 5 Bytes JMP 6E3B3223 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!CreateWindowExW 76F90E51 5 Bytes JMP 6E40FE1F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!SetWindowsHookExW 76F9210A 5 Bytes JMP 6E3E204C C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!DefWindowProcW 76F9724B 7 Bytes JMP 6E407AA2 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!DialogBoxIndirectParamW 76FB4AA7 5 Bytes JMP 6E535E86 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!DialogBoxParamW 76FB564A 5 Bytes JMP 6E3415E3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!DialogBoxParamA 76FCCF6A 5 Bytes JMP 6E535E21 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!DialogBoxIndirectParamA 76FCD29C 5 Bytes JMP 6E535EEB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!MessageBoxIndirectA 76FDE8C9 5 Bytes JMP 6E535DA8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!MessageBoxIndirectW 76FDE9C3 5 Bytes JMP 6E535D2F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!MessageBoxExA 76FDEA29 5 Bytes JMP 6E535CCB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] USER32.dll!MessageBoxExW 76FDEA4D 5 Bytes JMP 6E535C67 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] ole32.dll!OleLoadFromStream 75CD5BF6 5 Bytes JMP 6E53666E C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WININET.dll!HttpAddRequestHeadersA 76BA1B9C 5 Bytes JMP 00546A90
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WININET.dll!HttpAddRequestHeadersW 76BEF7A8 5 Bytes JMP 00546C90
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WS2_32.dll!closesocket 77763BED 5 Bytes JMP 0178000A
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WS2_32.dll!recv 777647DF 5 Bytes JMP 0176000A
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WS2_32.dll!connect 777648BE 5 Bytes JMP 0177000A
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WS2_32.dll!getaddrinfo 77766737 5 Bytes JMP 017B000A
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WS2_32.dll!send 7776C4C8 5 Bytes JMP 0179000A
.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[4084] WS2_32.dll!gethostbyname 77777133 5 Bytes JMP 017A000A
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!EnableWindow 76F8A72E 5 Bytes JMP 6E3E98BC C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!DialogBoxIndirectParamW 76FB4AA7 5 Bytes JMP 6E535E86 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!DialogBoxParamW 76FB564A 5 Bytes JMP 6E3415E3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!DialogBoxParamA 76FCCF6A 5 Bytes JMP 6E535E21 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!DialogBoxIndirectParamA 76FCD29C 5 Bytes JMP 6E535EEB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!MessageBoxIndirectA 76FDE8C9 5 Bytes JMP 6E535DA8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!MessageBoxIndirectW 76FDE9C3 5 Bytes JMP 6E535D2F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!MessageBoxExA 76FDEA29 5 Bytes JMP 6E535CCB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] USER32.dll!MessageBoxExW 76FDEA4D 5 Bytes JMP 6E535C67 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] WININET.dll!HttpAddRequestHeadersA 76BA1B9C 5 Bytes JMP 00346A90
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] WININET.dll!HttpAddRequestHeadersW 76BEF7A8 5 Bytes JMP 00346C90
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] WS2_32.dll!closesocket 77763BED 5 Bytes JMP 007C000A
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] WS2_32.dll!recv 777647DF 5 Bytes JMP 007A000A
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] WS2_32.dll!connect 777648BE 5 Bytes JMP 007B000A
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] WS2_32.dll!getaddrinfo 77766737 5 Bytes JMP 00A1000A
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] WS2_32.dll!send 7776C4C8 5 Bytes JMP 007D000A
.text C:\Program Files\Internet Explorer\iexplore.exe[4172] WS2_32.dll!gethostbyname 77777133 5 Bytes JMP 0092000A
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] kernel32.dll!CreateThread 76D0281D 5 Bytes JMP 6E3A71CB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!EnableWindow 76F8A72E 5 Bytes JMP 6E3E98BC C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!UnhookWindowsHookEx 76F8CC7B 5 Bytes JMP 6E42E9F8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!CallNextHookEx 76F8CC8F 5 Bytes JMP 6E407A3F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!DefWindowProcA 76F8E0E4 7 Bytes JMP 6E3A93F5 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!CreateWindowExA 76F8E18A 5 Bytes JMP 6E3B3223 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!CreateWindowExW 76F90E51 5 Bytes JMP 6E40FE1F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!SetWindowsHookExW 76F9210A 5 Bytes JMP 6E3E204C C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!DefWindowProcW 76F9724B 7 Bytes JMP 6E407AA2 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!DialogBoxIndirectParamW 76FB4AA7 5 Bytes JMP 6E535E86 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!DialogBoxParamW 76FB564A 5 Bytes JMP 6E3415E3 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!DialogBoxParamA 76FCCF6A 5 Bytes JMP 6E535E21 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!DialogBoxIndirectParamA 76FCD29C 5 Bytes JMP 6E535EEB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!MessageBoxIndirectA 76FDE8C9 5 Bytes JMP 6E535DA8 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!MessageBoxIndirectW 76FDE9C3 5 Bytes JMP 6E535D2F C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!MessageBoxExA 76FDEA29 5 Bytes JMP 6E535CCB C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] USER32.dll!MessageBoxExW 76FDEA4D 5 Bytes JMP 6E535C67 C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] ole32.dll!OleLoadFromStream 75CD5BF6 5 Bytes JMP 6E53666E C:\Windows\system32\IEFRAME.dll (Internet Browser/Microsoft Corporation)
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] WININET.dll!HttpAddRequestHeadersA 76BA1B9C 5 Bytes JMP 017D6A90
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] WININET.dll!HttpAddRequestHeadersW 76BEF7A8 5 Bytes JMP 017D6C90
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] WS2_32.dll!closesocket 77763BED 5 Bytes JMP 01B4000A
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] WS2_32.dll!recv 777647DF 5 Bytes JMP 01B2000A
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] WS2_32.dll!connect 777648BE 5 Bytes JMP 01B3000A
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] WS2_32.dll!getaddrinfo 77766737 5 Bytes JMP 01B7000A
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] WS2_32.dll!send 7776C4C8 5 Bytes JMP 01B5000A
.text C:\Program Files\Internet Explorer\iexplore.exe[4524] WS2_32.dll!gethostbyname 77777133 5 Bytes JMP 01B6000A
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [743A2494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74385624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [743856E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [743A250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [74398573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [74394D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [743950CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [743951A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [743966D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [743982CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74398819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7439907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [7439E21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1964] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [74394C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\ACPI_HAL \Device\0000004e halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
---- Threads - GMER 1.0.15 ----
Thread System [4:244] 86051E7A
Thread System [4:248] 86054008
---- EOF - GMER 1.0.15 ----
|
|
28.06.2011, 21:03
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Das Log von mbrcheck ist unvollständig...
__________________ Logfiles bitte immer in CODE-Tags posten |
|
29.06.2011, 18:16
| #14 |
| | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Hallo, hoffe jetzt ist er vollständig. War wohl gestern zu ungeduldig. Danke Gruß Christine |
|
29.06.2011, 21:41
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu TR/Fakealert.OV; Festplatte angeblich defekt; Schwarzer Desktop |
| datei, defekt, desktop, entfernen, explorer, fehler, festplatte, festplatte angeblich defekt, file, forum, gen, google, ics, internet, laptop, leer, malware, malware gefunden, neu, nicht mehr, ordner, problem, schadsoftware eingefangen, schwarzer desktop, startet, surfen, system, system neu, windows, windwos 7, öffnen |
Linear-Darstellung
