|
Plagegeister aller Art und deren Bekämpfung: Java Virus. Hilfe!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.04.2012, 22:24 | #16 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Java Virus. Hilfe! Die Dateien sind harmlos Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
18.04.2012, 22:51 | #17 |
| Java Virus. Hilfe! Ich hab den Combifix Scan durchgeführt, ich glaub er hat 2 Sachen gefunden, hier ist der Log dazu. Was muss ich als Nächstes tun?
__________________Combofix Logfile: Code:
ATTFilter ComboFix 12-04-18.02 - xxx 18.04.2012 23:35:30.1.4 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.43.1031.18.3070.2058 [GMT 2:00] ausgeführt von:: c:\users\xxx\Desktop\ComboFix.exe AV: Microsoft Forefront Client Security *Disabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160} SP: Microsoft Forefront Client Security *Disabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\program files\QUAD Utilities c:\users\xxx\4.0 . . ((((((((((((((((((((((( Dateien erstellt von 2012-03-18 bis 2012-04-18 )))))))))))))))))))))))))))))) . . 2012-04-18 21:41 . 2012-04-18 21:41 -------- d-----w- c:\users\xxx\AppData\Local\temp 2012-04-18 21:41 . 2012-04-18 21:41 -------- d-----w- c:\users\Default\AppData\Local\temp 2012-04-18 19:43 . 2012-04-18 19:43 -------- d-----w- C:\_OTL 2012-04-18 10:50 . 2012-04-18 10:50 56200 ----a-w- c:\programdata\Microsoft\Microsoft Forefront\Client Security\Client\Antimalware\Definition Updates\{F78A1672-932A-46B4-B732-1B9064548BA9}\offreg.dll 2012-04-18 10:45 . 2012-03-14 02:15 6582328 ----a-w- c:\programdata\Microsoft\Microsoft Forefront\Client Security\Client\Antimalware\Definition Updates\{F78A1672-932A-46B4-B732-1B9064548BA9}\mpengine.dll 2012-04-17 17:46 . 2012-04-17 17:46 -------- d-----w- c:\users\xxx\AppData\Roaming\Malwarebytes 2012-04-17 17:46 . 2012-04-17 17:46 -------- d-----w- c:\programdata\Malwarebytes 2012-04-16 20:10 . 2012-04-16 20:10 -------- d-----w- c:\program files\Common Files\Skype 2012-04-11 22:41 . 2012-03-01 11:01 2409784 ----a-w- c:\program files\Windows Mail\OESpamFilter.dat 2012-04-04 05:53 . 2012-04-04 05:53 182160 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll 2012-04-04 05:53 . 2012-04-04 05:53 182160 ----a-w- c:\program files\Internet Explorer\Plugins\nppdf32.dll 2012-04-03 15:06 . 2012-04-14 22:56 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe . . . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-04-14 22:56 . 2011-05-17 14:39 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-03-14 02:15 . 2010-11-05 21:39 6582328 ----a-w- c:\programdata\Microsoft\Microsoft Forefront\Client Security\Client\Antimalware\Definition Updates\Backup\mpengine.dll 2012-03-02 14:30 . 2010-05-03 14:13 472808 ----a-w- c:\windows\system32\deployJava1.dll 2012-02-24 11:10 . 2012-02-24 11:10 86528 ----a-w- c:\windows\system32\iesysprep.dll 2012-02-24 11:10 . 2012-02-24 11:10 76800 ----a-w- c:\windows\system32\SetIEInstalledDate.exe 2012-02-24 11:10 . 2012-02-24 11:10 74752 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe 2012-02-24 11:10 . 2012-02-24 11:10 48640 ----a-w- c:\windows\system32\mshtmler.dll 2012-02-24 11:10 . 2012-02-24 11:10 161792 ----a-w- c:\windows\system32\msls31.dll 2012-02-24 11:10 . 2012-02-24 11:10 74752 ----a-w- c:\windows\system32\iesetup.dll 2012-02-24 11:10 . 2012-02-24 11:10 63488 ----a-w- c:\windows\system32\tdc.ocx 2012-02-24 11:10 . 2012-02-24 11:10 367104 ----a-w- c:\windows\system32\html.iec 2012-02-24 11:10 . 2012-02-24 11:10 420864 ----a-w- c:\windows\system32\vbscript.dll 2012-02-24 11:10 . 2012-02-24 11:10 23552 ----a-w- c:\windows\system32\licmgr10.dll 2012-02-24 11:10 . 2012-02-24 11:10 152064 ----a-w- c:\windows\system32\wextract.exe 2012-02-24 11:10 . 2012-02-24 11:10 150528 ----a-w- c:\windows\system32\iexpress.exe 2012-02-24 11:10 . 2012-02-24 11:10 142848 ----a-w- c:\windows\system32\ieUnatt.exe 2012-02-24 11:10 . 2012-02-24 11:10 11776 ----a-w- c:\windows\system32\mshta.exe 2012-02-24 11:10 . 2012-02-24 11:10 101888 ----a-w- c:\windows\system32\admparse.dll 2012-02-24 11:10 . 2012-02-24 11:10 35840 ----a-w- c:\windows\system32\imgutil.dll 2012-02-24 11:10 . 2012-02-24 11:10 110592 ----a-w- c:\windows\system32\IEAdvpack.dll 2012-02-14 15:45 . 2012-03-14 23:35 219648 ----a-w- c:\windows\system32\d3d10_1core.dll 2012-02-14 15:45 . 2012-03-14 23:35 160768 ----a-w- c:\windows\system32\d3d10_1.dll 2012-02-13 14:12 . 2012-03-14 23:35 1172480 ----a-w- c:\windows\system32\d3d10warp.dll 2012-02-13 13:47 . 2012-03-14 23:35 683008 ----a-w- c:\windows\system32\d2d1.dll 2012-02-13 13:44 . 2012-03-14 23:35 1068544 ----a-w- c:\windows\system32\DWrite.dll 2012-02-02 15:16 . 2012-03-14 23:35 2044416 ----a-w- c:\windows\system32\win32k.sys 2012-01-31 12:44 . 2009-10-04 09:08 237072 ------w- c:\windows\system32\MpSigStub.exe 2012-03-19 11:58 . 2011-12-11 19:27 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP] @="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}" [HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}] 2008-03-04 22:38 121392 ----a-w- c:\acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952] "OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-09-04 95536] "NokiaOviSuite2"="c:\program files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe" [2010-07-02 671608] "Akamai NetSession Interface"="c:\users\xxx\AppData\Local\Akamai\netsession_win.exe" [2012-03-13 3331872] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X] "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440] "Skytel"="Skytel.exe" [2007-11-20 1826816] "RtHDVCpl"="RtHDVCpl.exe" [2008-03-26 5369856] "PCMMediaSharing"="c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe" [2008-05-20 204908] "OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" [2007-09-04 54576] "NvSvc"="c:\windows\system32\nvsvc.dll" [2007-12-21 86016] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-21 81920] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-21 8497696] "eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-03-04 526896] "Acer Empowering Technology Monitor"="c:\acer\Empowering Technology\SysMonitor.exe" [2008-01-09 326176] "ArcSoft Connection Service"="c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-10-27 207424] "AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888] "Microsoft Forefront Client Security Antimalware Service"="c:\program files\Microsoft Forefront\Client Security\Client\Antimalware\MSASCui.exe" [2011-02-02 1033600] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712] "TkBellExe"="c:\program files\real\realplayer\Update\realsched.exe" [2011-11-22 273528] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696] . c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ ASETRES.EXE [2008-4-14 20480] AutoCAD-Startbeschleuniger.lnk - c:\program files\Common Files\Autodesk Shared\acstart17.exe [2006-3-5 11000] Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2008-3-21 535336] Philips GoGear ARIA Device Manager.lnk - c:\philips\GoGear ARIA Device Manager\GoGear_Aria_DeviceManager.exe [2010-5-11 1611152] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\FCSAM] @="Service" . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc] @="Service" . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVRaidService] 2008-05-06 14:53 196128 ----a-w- c:\windows\System32\nvraidservice.exe . [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware] "DisableMonitoring"=dword:00000001 . R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-14 253088] S2 Acer HomeMedia Connect Service;Acer HomeMedia Connect Service;c:\program files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe [2008-05-20 269448] S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928] . . --- Andere Dienste/Treiber im Speicher --- . *NewlyCreated* - 28798480 *Deregistered* - 28798480 . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache Akamai REG_MULTI_SZ Akamai . Inhalt des "geplante Tasks" Ordners . 2012-04-18 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-03 22:56] . 2012-04-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3559759172-3097272205-1206507809-1000Core.job - c:\users\xxx\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-13 20:59] . 2012-04-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3559759172-3097272205-1206507809-1000UA.job - c:\users\xxx\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-13 20:59] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.yahoo.de/ mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0c07&s=1&o=vp32&d=0109&m=aspire_m3641 uInternet Settings,ProxyOverride = <local> IE: Free YouTube Download - c:\users\xxx\AppData\Roaming\DVDVideoSoftIEHelpers\youtubedownload.htm IE: Free YouTube to Mp3 Converter - c:\users\xxx\AppData\Roaming\DVDVideoSoftIEHelpers\youtubetomp3.htm IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 Trusted Zone: pokemon-gl.com\de TCP: DhcpNameServer = 192.168.1.1 FF - ProfilePath - c:\users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\jebo5yec.default\ FF - prefs.js: browser.search.defaulturl - FF - prefs.js: browser.search.selectedEngine - Yahoo FF - prefs.js: browser.startup.homepage - hxxp://yahoo.de/ FF - prefs.js: network.proxy.type - 0 . . ------- Dateityp-Verknüpfung ------- . .scr=AutoCADScriptFile . - - - - Entfernte verwaiste Registrierungseinträge - - - - . WebBrowser-{9D81AF43-DE53-48D0-A199-42C2A226B24C} - (no file) HKCU-Run-uTorrent - c:\program files\uTorrent\uTorrent.exe HKLM-Run-eRecoveryService - (no file) HKLM-Run-WarReg_PopUp - c:\acer\WR_PopUp\WarReg_PopUp.exe HKLM-Run-Apanel - c:\acersw\config\SetApanel.cmd SafeBoot-WudfPf SafeBoot-WudfRd . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net Rootkit scan 2012-04-18 23:41 Windows 6.0.6002 Service Pack 2 NTFS . Scanne versteckte Prozesse... . Scanne versteckte Autostarteinträge... . Scanne versteckte Dateien... . Scan erfolgreich abgeschlossen versteckte Dateien: 0 . ************************************************************************** . [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Akamai] "ServiceDll"="c:\program files\common files\akamai/netsession_win_6c825ce.dll" . --------------------- Gesperrte Registrierungsschluessel --------------------- . [HKEY_USERS\S-1-5-21-3559759172-3097272205-1206507809-1000\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CBF2369A-3293-D259-BB98-5AB9A3F7ED3D}*] "hafcgfgfjadojdod"=hex:6b,61,6c,63,6d,61,67,6e,62,67,61,61,65,70,6e,6b,6c,68, 6f,64,70,63,00,00 "gaoebcilificgg"=hex:61,63,6e,66,66,61,62,69,6c,62,6c,68,64,67,67,6c,64,6d,70, 68,6d,63,6d,67,6f,61,66,67,65,6e,6a,64,65,6d,68,68,6f,6e,67,6a,69,6c,6d,64,\ "iapdmieomjbmjbdgha"=hex:6b,61,6c,63,6d,61,67,6e,62,67,61,61,65,70,6e,6b,6c,68, 6f,64,70,63,00,00 . [HKEY_USERS\S-1-5-21-3559759172-3097272205-1206507809-1000\Software\SecuROM\License information*] @Allowed: (Read) (RestrictedCode) "datasecu"=hex:77,e4,fd,7c,c1,3f,dd,bd,36,d4,1b,e9,f8,5e,b1,74,14,61,39,d4,02, 98,bc,a6,12,18,73,72,05,27,76,67,60,f4,3b,2e,59,cc,c2,de,7f,d2,de,89,4c,f2,\ "rkeysecu"=hex:e1,00,94,73,b3,4c,a0,b9,de,12,bc,5b,5a,b5,ce,70 . [HKEY_USERS\S-1-5-21-3559759172-3097272205-1206507809-1000\Software\Sony Creative Software\M*e*d*i*a* *M*a*n*a*g*e*r* *f*o*r* *P*S*P*"!\3.0] "Percents"="" "Increment"=".023810" . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- . - - - - - - - > 'Explorer.exe'(400) c:\acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll c:\acer\Empowering Technology\eDataSecurity\x86\sysenv.dll c:\program files\Common Files\Apple\Apple Application Support\libdispatch.dll c:\program files\Common Files\Apple\Apple Application Support\icudt40.dll . Zeit der Fertigstellung: 2012-04-18 23:42:58 ComboFix-quarantined-files.txt 2012-04-18 21:42 . Vor Suchlauf: 21 Verzeichnis(se), 153.311.907.840 Bytes frei Nach Suchlauf: 24 Verzeichnis(se), 153.225.687.040 Bytes frei . - - End Of File - - 36A57B36EE800D371280FEAEA717338D --- --- --- |
19.04.2012, 10:37 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Java Virus. Hilfe! Bitte nun Logs mit GMER und OSAM erstellen und posten.
__________________GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM! Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes: Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.
__________________ |
20.04.2012, 13:49 | #19 | |
| Java Virus. Hilfe!Zitat:
Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2012-04-20 01:30:42 Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\00000061 WDC_WD64 rev.01.0 Running: jd7kxhn4.exe; Driver: C:\Users\xxx~1\AppData\Local\Temp\pwloyuoc.sys ---- Kernel code sections - GMER 1.0.15 ---- .text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x8EC01000, 0x241AC8, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text C:\Program Files\Real\RealPlayer\Update\realsched.exe[3568] kernel32.dll!SetUnhandledExceptionFilter 75C3A8C5 5 Bytes [33, C0, C2, 04, 00] {XOR EAX, EAX; RET 0x4} ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [737A7817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [737FA86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [737ABB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7379F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [737A75E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [7379E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [737D8395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [737ADA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [7379FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [7379FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [737971CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [7382CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [737CC8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [7379D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [73796853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [7379687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [737A2AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18342_none_9e54f8aaca13c773\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateThread] [100027E0] C:\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Acer eDataSecurity Management PSD DragDrop Protection/Egis Incorporated) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!FreeLibraryAndExitThread] [10001B60] C:\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Acer eDataSecurity Management PSD DragDrop Protection/Egis Incorporated) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [10002B60] C:\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Acer eDataSecurity Management PSD DragDrop Protection/Egis Incorporated) IAT C:\Windows\Explorer.EXE[2268] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [100011D0] C:\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Acer eDataSecurity Management PSD DragDrop Protection/Egis Incorporated) ---- Registry - GMER 1.0.15 ---- Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CBF2369A-3293-D259-BB98-5AB9A3F7ED3D} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CBF2369A-3293-D259-BB98-5AB9A3F7ED3D}@hafcgfgfjadojdod 0x6B 0x61 0x6C 0x63 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CBF2369A-3293-D259-BB98-5AB9A3F7ED3D}@gaoebcilificgg 0x61 0x63 0x6E 0x66 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{CBF2369A-3293-D259-BB98-5AB9A3F7ED3D}@iapdmieomjbmjbdgha 0x6B 0x61 0x6C 0x63 ... ---- EOF - GMER 1.0.15 ---- Code:
ATTFilter Report of OSAM: Autorun Manager v5.0.11926.0 hxxp://www.online-solutions.ru/en/ Saved at 12:23:33 on 20.04.2012 OS: Windows Vista Home Premium Edition Service Pack 2 (Build 6002), 32-bit Default Browser: Mozilla Corporation Firefox 11.0 Scanner Settings [x] Rootkits detection (hidden registry) [x] Rootkits detection (hidden files) [x] Retrieve files information [x] Check Microsoft signatures Filters [ ] Trusted entries [ ] Empty entries [x] Hidden registry entries (rootkit activity) [x] Exclusively opened files [x] Not found files [x] Files without detailed information [x] Existing files [ ] Non-startable services [ ] Non-startable drivers [x] Active entries [x] Disabled entries [Common] -----( %SystemRoot%\Tasks )----- "GoogleUpdateTaskUserS-1-5-21-3559759172-3097272205-1206507809-1000Core.job" - "Google Inc." - C:\Users\xxx\AppData\Local\Google\Update\GoogleUpdate.exe "GoogleUpdateTaskUserS-1-5-21-3559759172-3097272205-1206507809-1000UA.job" - "Google Inc." - C:\Users\xxx\AppData\Local\Google\Update\GoogleUpdate.exe "Adobe Flash Player Updater.job" - "Adobe Systems Incorporated" - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [Control Panel Objects] -----( %SystemRoot%\system32 )----- "FlashPlayerCPLApp.cpl" - "Adobe Systems Incorporated" - C:\Windows\system32\FlashPlayerCPLApp.cpl "PenTablet.cpl" - "Wacom Technology, Corp." - C:\Windows\system32\PenTablet.cpl "plotman.cpl" - "Autodesk, Inc." - C:\Windows\system32\plotman.cpl "styleman.cpl" - "Autodesk, Inc." - C:\Windows\system32\styleman.cpl -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )----- "NokiaConnectionManager" - "Nokia" - C:\PROGRA~1\Nokia\NOKIAP~1\CONNEC~1.CPL "Pando" - "Pando Networks" - C:\Program Files\Pando Networks\Media Booster\PMB.cpl "QuickTime" - "Apple Inc." - C:\Program Files\QuickTime\QTSystem\QuickTime.cpl "Stifttablett" - "Wacom Technology, Corp." - C:\Windows\system32\PenTablet.cpl [Drivers] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "Apple Mobile USB Driver" (USBAAPL) - ? - C:\Windows\System32\Drivers\usbaapl.sys (File not found) "catchme" (catchme) - ? - C:\Users\xxx~1\AppData\Local\Temp\catchme.sys (File not found) "DNIMp50 NDIS Protocol Driver" (DNIMp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\Windows\System32\Drivers\DNIMp50.sys "DNISp50 NDIS Protocol Driver" (DNISp50) - "Printing Communications Assoc., Inc. (PCAUSA)" - C:\Windows\System32\Drivers\DNISp50.sys "EagleNT" (EagleNT) - ? - C:\Windows\system32\drivers\EagleNT.sys (File not found) "EagleXNt" (EagleXNt) - ? - C:\Windows\system32\drivers\EagleXNt.sys (File not found) "int15" (int15) - "Acer, Inc." - C:\Acer\Empowering Technology\eRecovery\int15.sys "IP in IP Tunnel Driver" (IpInIp) - ? - C:\Windows\System32\DRIVERS\ipinip.sys (File not found) "IPX Traffic Filter Driver" (NwlnkFlt) - ? - C:\Windows\System32\DRIVERS\nwlnkflt.sys (File not found) "IPX Traffic Forwarder Driver" (NwlnkFwd) - ? - C:\Windows\System32\DRIVERS\nwlnkfwd.sys (File not found) "NETGEAR WG111T USB2.0 Wireless Card Service" (WG111T) - ? - C:\Windows\System32\DRIVERS\WG111Tv.sys (File not found) "PSDFilter" (PSDFilter) - "Egis Incorporated" - C:\Windows\System32\DRIVERS\psdfilter.sys "PSDNServ" (PSDNServ) - "Egis Incorporated" - C:\Windows\System32\DRIVERS\PSDNServ.sys "PSDVdisk" (psdvdisk) - "Egis Incorporated" - C:\Windows\System32\DRIVERS\PSDVdisk.sys "PxHelp20" (PxHelp20) - "Sonic Solutions" - C:\Windows\System32\Drivers\PxHelp20.sys "StarOpen" (StarOpen) - ? - C:\Windows\system32\drivers\StarOpen.sys (File found, but it contains no detailed information) "tvicport" (tvicport) - "EnTech Taiwan" - C:\Windows\system32\drivers\tvicport.sys "Upper Class Filter Driver" (NTIDrvr) - "NewTech Infosystems, Inc." - C:\Windows\System32\DRIVERS\NTIDrvr.sys "XDva289" (XDva289) - ? - C:\Windows\system32\XDva289.sys (File not found) "XDva370" (XDva370) - ? - C:\Windows\system32\XDva370.sys (File not found) "zntport" (zntport) - "Zeal SoftStudio" - C:\Windows\system32\drivers\zntport.sys [Explorer] -----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )----- {F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll -----( HKLM\Software\Classes\Protocols\Filter )----- {807553E5-5146-11D5-A672-00B0D022E945} "text/xml" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL -----( HKLM\Software\Classes\Protocols\Handler )----- {32505114-5902-49B2-880A-1F7738E5A384} "Data Page Plugable Protocal mso-offdap11 Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL {828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL {0A9007C0-4076-11D3-8789-0000F8105754} "Microsoft Infotech Storage Protocol for IE 4.0" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\msitss.dll {828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL {91774881-D725-4E58-B298-07617B9B86A8} "Skype IE add-on Pluggable Protocol" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )----- {911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? - (File not found | COM-object registry key not found) {36A21736-36C2-4C11-8ACB-D4136F2B57BD} "AcSignIcon" - "Autodesk" - C:\Windows\system32\AcSignIcon.dll {AC1DB655-4F9A-4c39-8AD2-A65324A4C446} "ACTHUMBNAIL" - "Autodesk" - C:\Program Files\Common Files\Autodesk Shared\Thumbnail\AcThumbnail16.dll {1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? - (File not found | COM-object registry key not found) {34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? - (File not found | COM-object registry key not found) {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? - (File not found | COM-object registry key not found) {30A0A3F6-38AC-4C53-BB8B-0D95238E25BA} "DragDropProtect Class" - "Egis Incorporated" - C:\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll {2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? - (File not found | COM-object registry key not found) {FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - ? - (File not found | COM-object registry key not found) {42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll {993BE281-6695-4BA5-8A2A-7AACBFAAB69E} "Microsoft Office Metadata Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll {00020d75-0000-0000-c000-000000000046} "Microsoft Office Outlook" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL {C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97} "Microsoft Office Thumbnail Handler" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} "Nokia Phone Browser" - "Nokia" - C:\Program Files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll {0006F045-0000-0000-C000-000000000046} "Outlook-Dateisymbolerweiterung" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} "RealOne Player Context Menu Class" - "RealNetworks, Inc." - c:\program files\real\realplayer\rpshell.dll {C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? - (File not found | COM-object registry key not found) {E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? - (File not found | COM-object registry key not found) {5E2121EE-0300-11D4-8D3B-444553540000} "SimpleShlExt Class" - "Advanced Micro Devices, Inc." - C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll {BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {8FF88D27-7BD0-11D1-BFB7-00AA00262A11} "WinAceContext Menu (Add) Extension" - "e-merge GmbH" - C:\Program Files\WinAce\arcext.dll {8FF88D21-7BD0-11D1-BFB7-00AA00262A11} "WinAceContext Menu Extension" - "e-merge GmbH" - C:\Program Files\WinAce\arcext.dll {8FF88D25-7BD0-11D1-BFB7-00AA00262A11} "WinAceDrag-Drop Extension" - "e-merge GmbH" - C:\Program Files\WinAce\arcext.dll {8FF88D23-7BD0-11D1-BFB7-00AA00262A11} "WinAceProperty Sheet Extension" - "e-merge GmbH" - C:\Program Files\WinAce\arcext.dll {da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? - (File not found | COM-object registry key not found) {B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - ? - C:\Program Files\WinRAR\rarext.dll [Internet Explorer] -----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )----- ITBar7Height "ITBar7Height" - ? - (File not found | COM-object registry key not found) <binary data> "ITBar7Layout" - ? - (File not found | COM-object registry key not found) <binary data> "{21FA44EF-376D-4D53-9B0F-8A89D3229068}" - ? - (File not found | COM-object registry key not found) -----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )----- {8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_31" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_31.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} "MUCatalogWebControl Class" - "Microsoft Corporation" - C:\Windows\system32\MicrosoftUpdateCatalogWebControl.dll / hxxp://catalog.update.microsoft.com/v7/site/ClientControl/en/x86/MuCatalogWebControl.cab?1288993282860 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? - (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )----- {FF059E31-CC5A-4E2E-BF3B-96E929D65503} "Recherchieren" - "Microsoft Corporation" - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL {898EA8C8-E7FF-479B-8935-AEC46303B9E5} "Skype Click to Call" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll -----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )----- <binary data> "Acer eDataSecurity Management" - "Egis Incorporated." - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )----- {18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll {d2ce3e00-f94a-4740-988e-03dc2f38c34f} "Bing Bar Helper" - ? - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (File not found) {11222041-111B-46E3-BD29-EFB2449479B1} "IEPlugin Class" - "ArcSoft, Inc." - C:\PROGRA~1\ArcSoft\MEDIAC~1\INTERN~1\ARCURL~1.DLL {DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} "Java(tm) Plug-In SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\ssv.dll {3049C3E9-B461-4BC5-8870-4C09146192CA} "RealPlayer Download and Record Plugin for Internet Explorer" - "RealPlayer" - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} "Skype Browser Helper" - "Skype Technologies S.A." - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll {9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [Logon] -----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )----- "desktop.ini" - ? - C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini -----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )----- "ASETRES.EXE" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ASETRES.EXE "AutoCAD-Startbeschleuniger.lnk" - "Autodesk, Inc" - C:\Program Files\Common Files\Autodesk Shared\acstart17.exe (Shortcut exists | File exists) "desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini "Empowering Technology Launcher.lnk" - "Acer Inc." - C:\Acer\Empowering Technology\eAPLauncher.exe (Shortcut exists | File exists) "Philips GoGear ARIA Device Manager.lnk" - "Philips" - C:\Philips\GoGear ARIA Device Manager\GoGear_Aria_DeviceManager.exe (Shortcut exists | File exists) -----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )----- "Akamai NetSession Interface" - "Akamai Technologies, Inc" - "C:\Users\xxx\AppData\Local\Akamai\netsession_win.exe" "NokiaOviSuite2" - "Nokia" - C:\Program Files\Nokia\Nokia Ovi Suite\NokiaOviSuite.exe -tray "OM2_Monitor" - "OLYMPUS IMAGING CORP." - "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart -----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )----- "StartupPrograms" - ? - rdpclip (File not found) -----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )----- "Acer Empowering Technology Monitor" - ? - C:\Acer\Empowering Technology\SysMonitor.exe "Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" "AdobeAAMUpdater-1.0" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" "ArcSoft Connection Service" - "ArcSoft Inc." - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe "eDataSecurity Loader" - "Egis Incorporated" - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe "Microsoft Forefront Client Security Antimalware Service" - "Microsoft Corporation" - "C:\Program Files\Microsoft Forefront\Client Security\Client\Antimalware\MSASCui.exe" -hide "NokiaMServer" - "Nokia" - C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer /watchfiles startup "OM2_Monitor" - "OLYMPUS IMAGING CORP." - "C:\Program Files\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM "PCMMediaSharing" - ? - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe (File found, but it contains no detailed information) "QuickTime Task" - "Apple Inc." - "C:\Program Files\QuickTime\QTTask.exe" -atboottime "StartCCC" - "Advanced Micro Devices, Inc." - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun "SunJavaUpdateSched" - "Sun Microsystems, Inc." - "C:\Program Files\Common Files\Java\Java Update\jusched.exe" "TkBellExe" - "RealNetworks, Inc." - "c:\program files\real\realplayer\Update\realsched.exe" -osboot [Print Monitors] -----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )----- "Microsoft Document Imaging Writer Monitor" - "Microsoft Corporation" - C:\Windows\system32\mdimon.dll [Services] -----( HKLM\SYSTEM\CurrentControlSet\Services )----- "@C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe,-100" (WPFFontCache_v0400) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe "Acer HomeMedia Connect Service" (Acer HomeMedia Connect Service) - "CyberLink" - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe "Adobe Acrobat Update Service" (AdobeARMservice) - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe "Adobe Flash Player Update Service" (AdobeFlashPlayerUpdateSvc) - "Adobe Systems Incorporated" - C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe "Akamai NetSession Interface" (Akamai) - ? - c:\program files\common files\akamai\netsession_win_6c825ce.dll (File found, but it contains no detailed information) "ArcSoft Connect Daemon" (ACDaemon) - "ArcSoft Inc." - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe "Autodesk Licensing Service" (Autodesk Licensing Service) - "Autodesk" - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe "Bing Bar Update Service" (BBSvc) - "Microsoft Corporation." - C:\Program Files\Microsoft\BingBar\BBSvc.EXE "Cyberlink RichVideo Service(CRVS)" (RichVideo) - ? - C:\Program Files\CyberLink\Shared Files\RichVideo.exe "Dienst "Bonjour"" (Bonjour Service) - "Apple Inc." - C:\Program Files\Bonjour\mDNSResponder.exe "eDataSecurity Service" (eDataSecurity Service) - "Egis Incorporated" - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe "ePerformance Service" (AcerMemUsageCheckService) - ? - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe "eRecovery Service" (eRecoveryService) - "Acer Inc." - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe "eSettings Service" (eSettingsService) - ? - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe "LightScribeService Direct Disc Labeling Service" (LightScribeService) - "Hewlett-Packard Company" - C:\Program Files\Common Files\LightScribe\LSSrvc.exe "Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe "Microsoft Forefront Client Security-Antimalwaredienst" (FCSAM) - "Microsoft Corporation" - C:\Program Files\Microsoft Forefront\Client Security\Client\Antimalware\MsMpEng.exe "Net Driver HPZ12" (Net Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZinw12.dll "Office Source Engine" (ose) - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE "Pml Driver HPZ12" (Pml Driver HPZ12) - "Hewlett-Packard" - C:\Windows\system32\HPZipm12.dll "SeaPort" (SeaPort) - "Microsoft Corporation" - C:\Program Files\Microsoft\BingBar\SeaPort.EXE "ServiceLayer" (ServiceLayer) - "Nokia" - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe "Skype Updater" (SkypeUpdate) - "Skype Technologies" - C:\Program Files\Skype\Updater\Updater.exe "TabletServicePen" (TabletServicePen) - "Wacom Technology, Corp." - C:\Windows\system32\Pen_Tablet.exe [Winsock Providers] -----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )----- "mdnsNSP" - "Apple Inc." - C:\Program Files\Bonjour\mdnsNSP.dll ===[ Logfile end ]=========================================[ Logfile end ]=== If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru [/code] Code:
ATTFilter aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software Run date: 2012-04-20 13:04:34 ----------------------------- 13:04:34.835 OS Version: Windows 6.0.6002 Service Pack 2 13:04:34.836 Number of processors: 4 586 0x1707 13:04:34.837 ComputerName: xxx-PC UserName: xxx 13:04:36.375 Initialize success 13:04:41.218 AVAST engine defs: 12042000 13:04:45.671 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000062 13:04:45.673 Disk 0 Vendor: WDC_WD64 01.0 Size: 610480MB BusType: 6 13:04:45.702 Disk 0 MBR read successfully 13:04:45.704 Disk 0 MBR scan 13:04:45.710 Disk 0 unknown MBR code 13:04:45.725 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 14998 MB offset 63 13:04:45.751 Disk 0 Partition 2 80 (A) 06 FAT16 NTFS 297814 MB offset 30717952 13:04:45.787 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 297666 MB offset 640641024 13:04:45.809 Disk 0 scanning sectors +1250260992 13:04:45.928 Disk 0 scanning C:\Windows\system32\drivers 13:05:10.054 Service scanning 13:05:36.246 Modules scanning 13:06:32.550 Disk 0 trace - called modules: 13:06:32.581 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll storport.sys nvstor32.sys tcpip.sys NETIO.SYS 13:06:32.585 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x865d2650] 13:06:32.590 3 CLASSPNP.SYS[82f8d8b3] -> nt!IofCallDriver -> [0x85592958] 13:06:32.594 5 acpi.sys[82e876bc] -> nt!IofCallDriver -> \Device\00000062[0x86065538] 13:06:33.762 AVAST engine scan C:\Windows 13:06:59.363 AVAST engine scan C:\Windows\system32 13:11:56.546 AVAST engine scan C:\Windows\system32\drivers 13:12:30.882 AVAST engine scan C:\Users\xxx 14:34:49.569 AVAST engine scan C:\ProgramData 14:41:09.320 Scan finished successfully 14:42:12.890 Disk 0 MBR has been saved successfully to "C:\Users\xxx\Desktop\MBR.dat" 14:42:12.968 The log file has been saved successfully to "C:\Users\xxx\Desktop\aswMBR.txt" |
20.04.2012, 13:50 | #20 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Java Virus. Hilfe! Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht. Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar. Mach den Fix auch dann nicht, wenn du zB mit TrueCrypt oder anderen Verschlüsselungsprogrammen eine Vollverschlüsselung der Windowspartition bzw. gesamten Festplatte hast Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR. Hinweis: Bitte den Virenscanner abstellen bevor du aswMBR ausführst, denn v.a. Avira meldet darin oft einen Fehalalrm! Anschließend Windows neu starten und ein neues Log mit aswMBR machen.
__________________ Logfiles bitte immer in CODE-Tags posten |
20.04.2012, 15:13 | #21 | |
| Java Virus. Hilfe!Zitat:
Code:
ATTFilter aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software Run date: 2012-04-20 15:03:48 ----------------------------- 15:03:48.676 OS Version: Windows 6.0.6002 Service Pack 2 15:03:48.676 Number of processors: 4 586 0x1707 15:03:48.676 ComputerName: xxx-PC UserName: xxx 15:04:06.194 Initialize success 15:04:11.249 AVAST engine defs: 12042000 15:04:22.075 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000062 15:04:22.075 Disk 0 Vendor: WDC_WD64 01.0 Size: 610480MB BusType: 6 15:04:22.075 Disk 0 MBR read successfully 15:04:22.075 Disk 0 MBR scan 15:04:22.075 Disk 0 Windows VISTA default MBR code 15:04:22.091 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 14998 MB offset 63 15:04:22.106 Disk 0 Partition 2 80 (A) 06 FAT16 NTFS 297814 MB offset 30717952 15:04:22.138 Disk 0 Partition 3 00 07 HPFS/NTFS NTFS 297666 MB offset 640641024 15:04:22.153 Disk 0 scanning sectors +1250260992 15:04:22.216 Disk 0 scanning C:\Windows\system32\drivers 15:04:47.441 Service scanning 15:05:34.412 Modules scanning 15:05:50.948 Disk 0 trace - called modules: 15:05:51.026 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll storport.sys nvstor32.sys 15:05:51.026 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86c20ac8] 15:05:51.042 3 CLASSPNP.SYS[82f8e8b3] -> nt!IofCallDriver -> [0x8556a7f8] 15:05:51.042 5 acpi.sys[82e886bc] -> nt!IofCallDriver -> \Device\00000062[0x8558ea68] 15:06:00.355 AVAST engine scan C:\Windows 15:06:16.330 AVAST engine scan C:\Windows\system32 15:11:54.272 AVAST engine scan C:\Windows\system32\drivers 15:12:15.504 AVAST engine scan C:\Users\xxx 16:03:17.971 AVAST engine scan C:\ProgramData 16:07:15.544 Scan finished successfully 16:08:13.576 Disk 0 MBR has been saved successfully to "C:\Users\xxx\Desktop\MBR.dat" 16:08:13.591 The log file has been saved successfully to "C:\Users\xxx\Desktop\aswMBR.txt" |
20.04.2012, 19:12 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Java Virus. Hilfe! Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ Logfiles bitte immer in CODE-Tags posten |
21.04.2012, 00:07 | #23 | |
| Java Virus. Hilfe!Zitat:
|
21.04.2012, 14:44 | #24 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Java Virus. Hilfe! Die Makros dürften ok sein, sind Fehlalarme von SASW Sieht ok aus, da wurden nur Cookies gefunden. Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/ Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
22.04.2012, 11:37 | #25 |
| Java Virus. Hilfe! Erstmal Vielen Dank dir, dass du mir die ganze Zeit geholfen hast. Und nein seitdem mir hilfst hatte ich keine Probleme mehr mit den Trojanern. Und ja danke für den Rat werde jetzt auch die Cookies nach der Browsersitzung löschen lassen. Hast du für mich vl einen Tipp noch, dass ich mir den Virus über den Cache nicht mehr einfange? |
22.04.2012, 19:26 | #26 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Java Virus. Hilfe! Dann wären wir durch! Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Mit Hilfe von OTL kannst du auch viele Tools entfernen: Starte bitte OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Adobe - Andere Version des Adobe Flash Player installieren Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
22.04.2012, 21:22 | #27 |
| Java Virus. Hilfe! Ja würde ich auch sagen, endlich geschafft. Ich habe sämtliche Programme außer Malwarebytes deinstalliert und OTL für die Bereinigung verwendet. Windows System war auf den aktuellsten Stand. Java und Flash Player nun auch. Habe mir auch Secunia PSI installiert sowie du mir geraten hast. Werde auch noch alle Passwörter ändern. Ich hoffe so schnell hab ich keinen Virus mehr^^ Vielen Dank für alles |
Themen zu Java Virus. Hilfe! |
account, bräuchte, dringend, einfach, eingefroren, folge, folgende, gehackt, gelöscht, hilfe!, java, microsoft, nicht mehr, probleme, rojaner gefunden, scanner, scans, system, troja, trojaner, trojaner gefunden, unregelmäßige, vista, windows, windows vista, woche, wochen |