Sorry, erste Thema bitte löschen, Anhänge sind hier in der Forensoftware im Editiermodus nicht mehr möglich.

Windows XP (SP3) mit ESET Smart Security Version 5

ESET Smart Security (Software Firewall) protokollierte seit 26.10.11 DNS-Poisoning Angriffe auf meine IP
Zusätzliche diverse Portscans von verschiedenen Quell-IP auf meine IP, ich bin über TV-Kabelmodem mit fester IP im Internet.
- habe daraufhin am 25.11.11 einen Router dazwischen gesetzt.

Mir schien der PC (Windows XP SP3) danach insgesamt schneller geworden zu sein.
Nach jedem DNS-Poisoning-Angriff habe ich den Browser geschlossen.

Nach dem Routereinsatz erfolgten weiterhin DNS-Poisoning Angriffe auf Zieladresse 192.168.0.1:53 und Portscans
Dann war der Browser (FireFox Version 8) mal längere Zeit unbeaufsichtigt aktiv.
Beim anschließenden Weiterarbeiten am noch geöffneten Browser wurde bei jedem Klick eine zusätzliche Seite geöffnet mit scheinbarer Adresse aus meinem Browser Cache.

Zeitweilig hörte ich über meine Boxen, kurze (fremde) Stimmfetzen aus einem Video?

Reaktion von mir: Netzt gekappt....gescannt mit Virenscanner ESET Smart Security, kein Fund.
Browser deinstalliert und neu installiert.
Dann Security Task Manager installiert, EPSON Web-To-Page.dll (wurde installiert mit Druckersoftware??) in Quarantäne geschickt, mehrmals im Taskmanager alle laufenden Prozesse beobachtet.
Dort tauchte mal ein Prozess auf, bezeichnet als 1%, der aber nicht mehr vorhanden war???
Dann im abgesicherten Modus ESET Smart Security laufen lassen.
Dort tauchte eine Datei ...\test\testtar.tar auf, die nicht mehr in diesem Pfad ...\test\ zu finden war.
Inzwischen habe ich einige Software, die schon lange nicht/bzw. noch nie richtig - benutzt war,
deinstalliert.

Die Portscans und DNS-Poisoning-Anfriffe sind z.Zt. ausgeblieben.
Insgesamt scheint mir der PC ruhiger zu laufen, das erkenne ich an den wenigen verbleibenden offenen Netzverbindungen im tcpview beim Besuch von Webseiten. ( tcpview von w*w.sysinternals.com)
Weiterhin habe ich Spybot SD (Teatimer) wieder aktiviert und meine host-Tabelle (%systemroot%\system32\drivers\etc) in den Originalzustand zurückgesetzt und schreibgeschützt.

Istzustand : 20.12.11 PC läuft stabil, ruhig, die Symptome scheinen zur Zeit verschwunden zu sein.
Dauerhaft??
Deshalb meine Bitte um eine Analyse.
Es geht doch weiter
20.12.11 DNS-Poisoning-Angriff auf 192.168.0.1:53

Arbeite in zwischen die Anleitung ab.
defogger
Finished > OK > aber keine Aufforderung zum Neustart.

defogger_disable.log
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 05:10 on 22/12/2011 (pumuckl)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-


Ich arbeite an einem 32bit Windows Arbeitsplatz.
Meine Virensoftware ESET Smarte Security kann ich nur bis zum nächsten Neustart stoppen.
Gmer erfordert aber nach jedem Scan den Neustart?
Scannt GMER mehrmals und selbstandig weiter?
Mit dem Neustart ist auch ESET Smart Security wieder aktiv.

Lassen die bisherigen Anhänge schon eine Aussage zu?
Vielen Dank!

Zitat:

ESET Smart Security (Software Firewall) protokollierte seit 26.10.11 DNS-Poisoning Angriffe auf meine IP

IdR völlig hysterische Meldungen einer PFW die u.a. auf Fehlkonfigs zurückzuführen sind aber auch teil der aggressiven Marketingsstrategie sein können, die die Hersteller verfolgen ("oh die PFW meldet ja so viel da hab ich ja mein Geld gut investiert in dieser Software" )

Zitat:

Nach dem Routereinsatz erfolgten weiterhin DNS-Poisoning Angriffe auf Zieladresse 192.168.0.1:53 und Portscans

Bei 192.168.0.1 sollte spätestens ein Licht aufgehen. Denn 192.168.0.1 ist eine lokale Adresse aus einem privaten IP-Segment, sollte idR der Router sein. Port 53 ist nichts weiter als eine DNS-Anfrage.

Zitat:

Deshalb meine Bitte um eine Analyse.
Es geht doch weiter
20.12.11 DNS-Poisoning-Angriff auf 192.168.0.1:53

Der gleiche Quatsch. Siehe oben.

Lerne wie man Paketfilter solchen Kalibers richtig konfiguriert. Wenn du das nicht kannst sind diese Teile Spengstoff für Diskussionen und für dich persönlich nicht an Sinnfreiheit zu toppen.
Meine Empfehlung: deinstallieren und die Windows-Firewall verwenden.
Da du einen Router hast wäre normalerweise nicht mal die Window-Firewall erforderlich.

Vielen Dank für die schnelle Antwort.
Gmer hat mir noch diese Meldung gezeigt....

Warning!!!
GMER has found system modification, with might have been caused by ROOTKIT activity.

PINNACLE ist eigentlich der Anbieter meiner TV-Karte.

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-12-22 20:37:08
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e WDC_WD1600JD-55HBB0 rev.08.02D08
Running: mry5cdu9.exe; Driver: C:\DOKUME~1\p*****l\LOKALE~1\Temp\pwtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwAssignProcessToJobObject [0xB14C04B0]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwCreateThread [0xB14C07F0]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwDebugActiveProcess [0xB14C0AB0]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwDuplicateObject [0xB14C05D0]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwLoadDriver [0xB14C08B0]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwOpenProcess [0xB14C0350]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwOpenThread [0xB14C0410]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwProtectVirtualMemory [0xB14C0570]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwQueueApcThread [0xB14C0630]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwSetContextThread [0xB14C0530]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwSetInformationThread [0xB14C04F0]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwSetSecurityObject [0xB14C0670]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwSetSystemInformation [0xB14C0870]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwSuspendProcess [0xB14C03B0]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwSuspendThread [0xB14C0430]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwSystemDebugControl [0xB14C0830]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwTerminateProcess [0xB14C0370]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwTerminateThread [0xB14C0470]
SSDT            \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET)                                                    ZwWriteVirtualMemory [0xB14C05F0]

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!_abnormal_termination + 440                                                                            804E2AAC 12 Bytes  [B0, 03, 4C, B1, 30, 04, 4C, ...]
.text           C:\WINDOWS\system32\drivers\SSHDRV85.sys                                                                            section is writeable [0xB14E0000, 0x24A24, 0xE8000020]
.pklstb         C:\WINDOWS\system32\drivers\SSHDRV85.sys                                                                            entry point in ".pklstb" section [0xB1513000]
.relo2          C:\WINDOWS\system32\drivers\SSHDRV85.sys                                                                            unknown last section [0xB1529000, 0x8E, 0x42000040]

---- User code sections - GMER 1.0.15 ----

.text           C:\Programme\ESET\ESET Smart Security\ekrn.exe[252] kernel32.dll!SetUnhandledExceptionFilter                        7C84495D 4 Bytes  [C2, 04, 00, 00]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                              eamon.sys (Amon monitor/ESET)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                            epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                           epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                              snapman.sys (Acronis Snapshot API/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                              timntr.sys (Acronis True Image Backup Archive Explorer/Acronis)
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                              tdrpman.sys (Acronis Try&Decide and Restore Points Volume Filter Driver/Acronis)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                           epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                         epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

---- Services - GMER 1.0.15 ----

Service         C:\Programme\Microsoft (*** hidden *** )                                                                            [DISABLED] MSSQL$PINNACLESYS                                                       <-- ROOTKIT !!!
Service         C:\Programme\Microsoft (*** hidden *** )                                                                            [DISABLED] SQLAgent$PINNACLESYS                                                    <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a449a6                                         
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060a449a6@0001e31316e3                            0xF5 0xC0 0xC0 0xF3 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001060a449a6 (not active ControlSet)                     
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001060a449a6@0001e31316e3                                0xF5 0xC0 0xC0 0xF3 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b  0xE2 0x63 0x26 0xF1 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b  0x71 0x3B 0x04 0x66 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016  0xFF 0x7C 0x85 0xE0 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48  0x3E 0x1E 0x9E 0xE0 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472  0xF5 0x1D 0x4D 0x73 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d  0xDF 0x20 0x58 0x62 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b  0x97 0x20 0x4E 0x9A ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d  0x01 0x3A 0x48 0xFC ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3  0xF6 0x0F 0x4E 0x58 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b  0x3D 0xCE 0xEA 0x26 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6  0xF8 0x31 0x0F 0xA9 ...
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32                                   
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                    Apartment
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg             HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2  0xFA 0xEA 0x66 0x7F ...

---- EOF - GMER 1.0.15 ----
         

Die PFW kann ich in der Version 5.0 von ESET Smart Security separat abschalten, danke für den Tipp. Der Router hängt ja erst sehr kurze Zeit davor.
Wenn denn nun wirklich alles nur Panikmache einer PFW gewesen ist, was muß ich an den Vorbereitungen /Änderungen zum Rootkit Scannen wieder rückgängig machen?

Stichwort: defogger.exe - deaktivieren von Emulatoren, sind die noch deaktiviert?

Schonmal herzlichen Dank fürs Mitdenken.

Die PFW hast du nun deinstalliert? Wenn nicht unbedingt machen.
Separat abschalten ist sinnfrei

Zitat:

Zitat von cosinus

Die PFW hast du nun deinstalliert?

Ja, PFW ist Geschichte. Habe nun ESET NOD32 Antivirus 5.0 installiert.
Frohes Fest!

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

Malwarebytes Vollscan

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122405

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.12.2011 01:00:16
mbam-log-2011-12-25 (01-00-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 424158
Laufzeit: 1 Stunde(n), 17 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Frohe Weihnachten!

ESET Online Scan

Code: Alles auswählenAufklappen

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=640b846045a0684b83fe542cbfc37eac
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-25 06:41:26
# local_time=2011-12-25 07:41:26 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=2304 16777215 100 0 0 0 0 0
# compatibility_mode=8204 39157157 100 90 26968 11890127 0 0
# scanned=188840
# found=0
# cleaned=0
# scan_time=8869
# nod_component=V3 Build:0x30000000
         

Vielen Dank an das Team!

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Ja, 20 min. zuvor den ungewollten Quick-Scan.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 911122405

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.12.2011 23:40:26
mbam-log-2011-12-24 (23-40-26).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 234882
Laufzeit: 4 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

         

Bitte hier....

Keine Funde. Noch Probleme?
Sah so aus, als würde da nur wieder eine PFW sinnlose Hysterie verbreiten.

Der PC läuft wieder 'geschmeidig'.
Habe mittels Security Taskmanager (h**p://neuber.com/taskmanager/deutsch/index.html, Testversion) nach deiner ersten Antwort
2 Prozesse in Quarantäne geschickt.
Die fielen mir schon länger ins Auge.

1. Pinnacle\Mediacenter\EpgSpooler Srv.exe
2. EPSON\Web-to-Page\Epson Web-to-Page.dll (Browser Erweiterung, BHO)

Vielen Dank für deine Hilfe.

Zitat:

1. Pinnacle\Mediacenter\EpgSpooler Srv.exe
2. EPSON\Web-to-Page\Epson Web-to-Page.dll (Browser Erweiterung, BHO)

Wenn überhaupt sind das unnötige Prozesse. Aber keine Malware.