| |
| |||||||
Log-Analyse und Auswertung: TR/Kazy.174941Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
22.05.2013, 07:33
| #1 |
 |  TR/Kazy.174941 Guten Morgen, beim letzten virenscan wurden einige Viren gefunden. Nachdem ich es mit den Avira bordeigenen Mitteln versucht habe und diese nicht funktionieren stehe ich vor einem Problem. Ich habe das Betriebssystem Windows XP 32-Bit installiert. Vielen Dank für eure Hilfe schon im Voraus!  Anbei das Logfile Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Sonntag, 19. Mai 2013 14:16
Es wird nach 4648283 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Versionsinformationen:
BUILD.DAT : 12.1.9.1236 40872 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 15.11.2012 08:13:56
AVSCAN.DLL : 12.3.0.15 66256 Bytes 18.07.2012 16:04:38
LUKE.DLL : 12.3.0.15 68304 Bytes 18.07.2012 16:04:31
AVSCPLR.DLL : 12.3.0.27 97064 Bytes 18.07.2012 16:04:24
AVREG.DLL : 12.3.0.33 232232 Bytes 18.07.2012 16:04:23
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 12:56:31
VBASE001.VDF : 7.11.74.226 2201600 Bytes 30.04.2013 06:20:14
VBASE002.VDF : 7.11.74.227 2048 Bytes 30.04.2013 06:20:14
VBASE003.VDF : 7.11.74.228 2048 Bytes 30.04.2013 06:20:14
VBASE004.VDF : 7.11.74.229 2048 Bytes 30.04.2013 06:20:14
VBASE005.VDF : 7.11.74.230 2048 Bytes 30.04.2013 06:20:14
VBASE006.VDF : 7.11.74.231 2048 Bytes 30.04.2013 06:20:14
VBASE007.VDF : 7.11.74.232 2048 Bytes 30.04.2013 06:20:15
VBASE008.VDF : 7.11.74.233 2048 Bytes 30.04.2013 06:20:15
VBASE009.VDF : 7.11.74.234 2048 Bytes 30.04.2013 06:20:15
VBASE010.VDF : 7.11.74.235 2048 Bytes 30.04.2013 06:20:15
VBASE011.VDF : 7.11.74.236 2048 Bytes 30.04.2013 06:20:15
VBASE012.VDF : 7.11.74.237 2048 Bytes 30.04.2013 06:20:15
VBASE013.VDF : 7.11.74.238 2048 Bytes 30.04.2013 06:20:15
VBASE014.VDF : 7.11.75.97 181248 Bytes 02.05.2013 06:20:15
VBASE015.VDF : 7.11.75.183 217600 Bytes 03.05.2013 20:30:10
VBASE016.VDF : 7.11.76.27 183808 Bytes 04.05.2013 20:30:16
VBASE017.VDF : 7.11.76.101 194048 Bytes 06.05.2013 20:30:25
VBASE018.VDF : 7.11.76.213 163328 Bytes 07.05.2013 20:30:32
VBASE019.VDF : 7.11.77.41 134656 Bytes 08.05.2013 20:30:39
VBASE020.VDF : 7.11.77.145 141312 Bytes 10.05.2013 20:30:45
VBASE021.VDF : 7.11.77.225 155648 Bytes 12.05.2013 20:30:50
VBASE022.VDF : 7.11.78.21 202752 Bytes 13.05.2013 20:31:00
VBASE023.VDF : 7.11.78.71 140800 Bytes 13.05.2013 20:31:04
VBASE024.VDF : 7.11.78.147 167936 Bytes 15.05.2013 20:31:11
VBASE025.VDF : 7.11.78.207 147456 Bytes 16.05.2013 21:06:22
VBASE026.VDF : 7.11.79.17 198656 Bytes 17.05.2013 11:46:37
VBASE027.VDF : 7.11.79.18 2048 Bytes 17.05.2013 11:46:37
VBASE028.VDF : 7.11.79.19 2048 Bytes 17.05.2013 11:46:37
VBASE029.VDF : 7.11.79.20 2048 Bytes 17.05.2013 11:46:37
VBASE030.VDF : 7.11.79.21 2048 Bytes 17.05.2013 11:46:37
VBASE031.VDF : 7.11.79.68 147968 Bytes 19.05.2013 11:46:39
Engineversion : 8.2.12.44
AEVDF.DLL : 8.1.2.10 102772 Bytes 03.09.2012 17:37:02
AESCRIPT.DLL : 8.1.4.116 487805 Bytes 16.05.2013 21:07:11
AESCN.DLL : 8.1.10.4 131446 Bytes 13.04.2013 12:58:17
AESBX.DLL : 8.2.5.12 606578 Bytes 18.07.2012 16:04:20
AERDL.DLL : 8.2.0.88 643444 Bytes 20.01.2013 22:14:02
AEPACK.DLL : 8.3.2.12 754040 Bytes 15.05.2013 20:33:19
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 09.03.2013 23:27:28
AEHEUR.DLL : 8.1.4.368 5943673 Bytes 16.05.2013 21:07:08
AEHELP.DLL : 8.1.25.10 258425 Bytes 15.05.2013 20:31:37
AEGEN.DLL : 8.1.7.4 442741 Bytes 15.05.2013 20:31:33
AEEXP.DLL : 8.4.0.30 201078 Bytes 16.05.2013 21:07:13
AEEMU.DLL : 8.1.3.2 393587 Bytes 03.09.2012 17:36:56
AECORE.DLL : 8.1.31.2 201080 Bytes 22.02.2013 17:50:54
AEBB.DLL : 8.1.1.4 53619 Bytes 15.11.2012 08:13:19
AVWINLL.DLL : 12.3.0.15 27344 Bytes 18.07.2012 16:04:25
AVPREF.DLL : 12.3.0.32 50720 Bytes 15.11.2012 08:13:54
AVREP.DLL : 12.3.0.15 179208 Bytes 18.07.2012 16:04:23
AVARKT.DLL : 12.3.0.33 209696 Bytes 15.11.2012 08:13:51
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 18.07.2012 16:04:22
SQLITE3.DLL : 3.7.0.1 398288 Bytes 18.07.2012 16:04:34
AVSMTP.DLL : 12.3.0.32 63480 Bytes 18.07.2012 16:04:24
NETNT.DLL : 12.3.0.15 17104 Bytes 18.07.2012 16:04:31
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 18.07.2012 16:04:41
RCTEXT.DLL : 12.3.0.32 98848 Bytes 15.11.2012 08:12:59
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,
Beginn des Suchlaufs: Sonntag, 19. Mai 2013 14:16
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '70' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'issch.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '110' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '173' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\mixeryo.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.174941
Die Registry wurde durchsucht ( '614' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\mixeryo.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.174941
C:\System Volume Information\_restore{E317B0A7-CBB8-47F6-A2F4-6E9DB7A23BBB}\RP119\A0015037.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.174941
Beginne mit der Desinfektion:
C:\System Volume Information\_restore{E317B0A7-CBB8-47F6-A2F4-6E9DB7A23BBB}\RP119\A0015037.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.174941
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '528cc6cf.qua' verschoben!
Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1229272821-813497703-1343024091-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mixeryo> wurde erfolgreich repariert.
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\mixeryo.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.174941
[HINWEIS] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[HINWEIS] Die Datei existiert nicht!
[HINWEIS] Der Registrierungseintrag <HKEY_USERS\S-1-5-21-1229272821-813497703-1343024091-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mixeryo> wurde erfolgreich repariert.
Ende des Suchlaufs: Mittwoch, 22. Mai 2013 08:16
Benötigte Zeit: 1:08:16 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
6695 Verzeichnisse wurden überprüft
155338 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
155335 Dateien ohne Befall
3896 Archive wurden durchsucht
0 Warnungen
2 Hinweise
268464 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
|
|
22.05.2013, 09:01
| #2 |
| /// TB-Ausbilder  | TR/Kazy.174941!! Hinweis an Mitlesende !! Dieses Thema und die Anweisungen sind nur für diesen speziellen Fall gedacht. Sie könnten andere Computer schwer beschädigen. Öffnet bitte euer eigenes Thema.  Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:  Bitte lesen:Regeln für die Bereinigung
Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Deinstallation von Programmen
Schritt 2: AdwCleaner: Werbeprogramme suchen und löschen Downloade Dir bitte  AdwCleaner auf deinen Desktop.
Schritt 3: Scan mit DDS+ (mit attach) Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.
__________________ |
|
22.05.2013, 09:57
| #3 |
| | TR/Kazy.174941 Hallo ryder,
__________________vielen Dank für deine Hilfe! Ich habe nun leider ein großes Problem. Nachdem ich den ersten und zweiten Schritt wie oben geschrieben durchgeführt habe und der Rechner sich neu startete, kommt eine Fehlermeldung auf und Windows führt immer selbstständig einen Neustart durch, den ich nicht verhindern kann. Als erstes kommt das Fenster ``Generic Host Process for Win32 Services hat ein Problem festgestell und muss beendet werden´´. Wenn ich dann den Bericht nicht sende, öffnet sich das Fentr welches den Neustart erzwingt (ausgelöst von NT-Auorität\System. Was kann ich jetzt noch tun? Geändert von r.p. (22.05.2013 um 10:15 Uhr) |
|
22.05.2013, 12:16
| #4 |
| /// TB-Ausbilder | TR/Kazy.174941 Drücke beim starten F8 und wenn ein Textmenü kommt, dann versuche bitte "die letzte als funktionierend bekannte Konfiguration" und danach ... falls das nichts half ... den abgesicherten Modus. So funktioniert es - Windows XP, Vista und 7:Abgesicherter Modus zur Bereinigung Dieser besondere Startmodus wird von einem User normalerweise nicht benötigt oder benutzt. Für uns ist er jedoch ein großartiges Hilfsmittel, da beim Start des Computers nur sehr wenige Komponenten geladen und so störende Bestandteile (und meistens auch die Malware) eben nicht mitgestartet werden. Um in diesen Modus zu gelangen mußt du während des Neustarts deines Computers im richtigen Moment (oder einfach so oft bis es soweit ist) die F8-Taste drücken und es wird ein Auswahlmenü erscheinen, von dem folgende drei Punkte wichtig sind: Abgesicherter ModusWähle mit den Pfeiltasten Abgesicherter Modus mit Netzwerktreibern aus und drücke Enter. So funktioniert es - Windows 8: Alternative Anleitung
__________________  Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
23.05.2013, 09:14
| #5 |
| | TR/Kazy.174941 Ich muss jedes mal manuell den Befehl ``shutdown -a´´ über das cmd eingeben, dann lässt sich das Fenster entfernen und Windows fährt sich nicht runter. Nun aber endlich die Logs  !Code:
ATTFilter # AdwCleaner v2.301 - Datei am 22/05/2013 um 10:24:14 erstellt
# Aktualisiert am 16/05/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Downloads\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Datei Gelöscht : C:\user.js
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKCU\Software\IM
Schlüssel Gelöscht : HKCU\Software\ImInstaller
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Schlüssel Gelöscht : HKLM\Software\IB Updater
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]
***** [Internet Browser] *****
-\\ Internet Explorer v8.0.6001.18702
Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://mystart.incredibar.com/mb155?a=6R8J27gkep&i=26 --> hxxp://www.google.com
-\\ Mozilla Firefox v20.0.1 (de)
Datei : C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\p1xymgok.default-1351013476882\prefs.js
[OK] Die Datei ist sauber.
*************************
AdwCleaner[R1].txt - [1776 octets] - [22/05/2013 10:22:57]
AdwCleaner[S1].txt - [1584 octets] - [22/05/2013 10:24:14]
########## EOF - C:\AdwCleaner[S1].txt - [1644 octets] ##########
Code:
ATTFilter . UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT .DDS Logfile: --- --- --- |
|
23.05.2013, 11:09
| #6 |
| /// TB-Ausbilder | TR/Kazy.174941 Ja irgendwas stimmt da gar nicht. Wir müssen da ein paar Sachen killen. Scan mit Combofix
__________________ --> TR/Kazy.174941 |
|
23.05.2013, 14:56
| #7 |
| | TR/Kazy.174941 Ich habe nun folgendes Problem. Ich habe alles wie du es beschrieben hast gemacht aber combofix bleibt bei ``Autoscan´´ hängen und irgendwann hängt sich das gesamte Windows auf... Was kann ich tun? Vielen Dank für deine Geduld ! |
|
23.05.2013, 16:19
| #8 |
| /// TB-Ausbilder | TR/Kazy.174941 Combofix umbenennen Bitte benenne die Combofix(.exe) um in NoMBR(.exe) und probiere es nochmals.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
24.05.2013, 07:59
| #9 |
| | TR/Kazy.174941 Anbei das Log von Combofix: Code:
ATTFilter ComboFix 13-05-23.02 - Besitzer 23.05.2013 18:15:28.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\NoMBR.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\videoz.exe
.
.
((((((((((((((((((((((( Dateien erstellt von 2013-04-23 bis 2013-05-23 ))))))))))))))))))))))))))))))
.
.
2013-05-22 10:05 . 2013-05-23 07:49 -------- d-----w- c:\dokumente und einstellungen\Administrator
2013-05-19 12:28 . 2013-05-19 12:28 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2013-05-15 15:12 . 2008-04-13 22:15 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2013-05-15 15:12 . 2008-04-13 22:15 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2013-05-14 11:56 . 2013-05-17 04:45 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Utaogdljvx
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-15 14:21 . 2012-09-11 18:13 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-05-15 14:21 . 2012-09-11 18:13 692104 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-04-16 22:16 . 2006-02-28 12:00 920064 ----a-w- c:\windows\system32\wininet.dll
2013-04-16 22:16 . 2006-02-28 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2013-04-16 22:16 . 2006-02-28 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2013-04-12 23:28 . 2006-02-28 12:00 385024 ------w- c:\windows\system32\html.iec
2013-04-12 14:00 . 2006-02-28 12:00 1876480 ----a-w- c:\windows\system32\win32k.sys
2013-03-08 08:36 . 2006-02-28 12:00 293888 ----a-w- c:\windows\system32\winsrv.dll
2013-03-07 15:56 . 2006-02-28 12:00 2195712 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-03-07 15:56 . 2004-08-04 00:50 2072320 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-02-27 07:56 . 2012-09-03 13:48 2067456 ----a-w- c:\windows\system32\mstscax.dll
2013-04-25 14:06 . 2013-04-25 14:05 263064 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mixeryo"="-autorun" [X]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2012-07-13 17418928]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-09-20 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-09-20 114688]
"ISUSScheduler"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-08-09 81920]
"ISUSPM Startup"="c:\progra~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-08-09 221184]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-09-20 94208]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-1-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\userinit.exe]
"Debugger"=c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\videoz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-05-30 18:06 59280 ----a-w- c:\programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-06-07 17:33 421776 ----a-w- c:\programme\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 05:52 1695232 ------w- c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"MouseWithoutBordersSvc"=2 (0x2)
"iPod Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Microsoft Garage\\Mouse without Borders\\MouseWithoutBorders.exe"=
.
R2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [x]
R3 AR9271;Wireless Network Adapter Service;c:\windows\system32\DRIVERS\athuw.sys [x]
R3 MRVW225;USB54M Wireless LAN Dirver for Windows XP;c:\windows\system32\DRIVERS\MRVW225.sys [x]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [x]
R4 MouseWithoutBordersSvc;Mouse without Borders Service;c:\programme\Microsoft Garage\Mouse without Borders\MouseWithoutBordersSvc.exe [x]
S1 Uim_Vim;UIM Virtual Image Plugin;c:\windows\system32\Drivers\Uim_Vim.sys [x]
.
.
Inhalt des "geplante Tasks" Ordners
.
2013-05-23 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-09-11 14:21]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = *.local
TCP: DhcpNameServer = 192.168.0.2 192.168.0.5
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\p1xymgok.default-1351013476882\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-videoz - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\videoz.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-05-23 18:21
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_202_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
Zeit der Fertigstellung: 2013-05-23 18:23:29
ComboFix-quarantined-files.txt 2013-05-23 16:23
.
Vor Suchlauf: 9 Verzeichnis(se), 11.439.104.000 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 11.858.124.800 Bytes frei
.
- - End Of File - - FE7017EE97F1BCCE1C95E01162226505
|
|
24.05.2013, 08:44
| #10 |
| /// TB-Ausbilder | TR/Kazy.174941 Soooo da ist noch was übrig: Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!) Combofix-Skript
Schritt 2: Scan mit MBAR Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
24.05.2013, 09:37
| #11 |
| | TR/Kazy.174941 Kann ich da auch wieder die exe Datei voher umbenennen in ``NoMBR´´ oder geht es da nicht mehr? Geändert von r.p. (24.05.2013 um 09:44 Uhr) |
|
24.05.2013, 11:54
| #12 |
| /// TB-Ausbilder | TR/Kazy.174941 Ja sicher zu ziehst es in die umbenannte Datei.
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
24.05.2013, 15:11
| #13 |
| | TR/Kazy.174941 Nachdem nun ersteres Programm gelaufen ist, sich dies jedoch irgendwann wieder aufhängte, lässt der Rechner nun kein normales Anmelden mehr zu. Sobald ich mich anmelde logt sich der Benutzer selbstständig wieder aus und ich kann dies auch nicht durch den gesicherten Modus umgehen.... Was kann man jetzt noch machen  ?Danke für die Hilfe!!! |
|
24.05.2013, 15:18
| #14 |
| /// TB-Ausbilder | TR/Kazy.174941 Auch nicht abgesichert mit Eingabeaufforderung?
__________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! |
|
24.05.2013, 15:34
| #15 |
| | TR/Kazy.174941 Leider nein. |
|
| Themen zu TR/Kazy.174941 |
| .dll, avg, avira, besitzer, csrss.exe, desktop, dllhost.exe, einstellungen, explorer.exe, free, lsass.exe, microsoft, modul, namen, programm, programme, prozesse, registry, scan, services.exe, software, svchost.exe, system volume information, windows, windows xp, winlogon.exe |
Linear-Darstellung
