Logfile of HijackThis v1.99.1
Scan saved at 22:16:37, on 11.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\admin\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearflix.com/de/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame

Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe"

/startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Launch] "D:\SETUP.EXE"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23

"EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security

7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Webseite mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky

Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -

http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4907/mcfscan.cab
O20 - AppInit_DLLs: sockspy.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -

C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security

7.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda

Software\PavShld\pavprsrv.exe (file missing)
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH -

C:\Programme\T-Online\DSL-Manager\TODslSvc.exe



Ich hab absolut keine Ahnung von dem Programm, bin auch ehrlich gesagt in diesen Dingen eher ein "DAU", daher würde ich den kompetenten Leser einmal bitten zu überprüfen, ob mein Rechner "sauber" ist.

Ich hatte vor Tagen mal Bitdefender drüberlaufen lassen, der sagte mir es wäre folgende malware zu finden: rustock.C, die Datei befand sich im system32 Ordner und konnte weder verschoben noch desinfiziert werden. Die Datei hieß lasx32.dll oder so ähnlich.

Kontroll-Scans durch Phanda Antivirus, Kaspersky un Gdata waren allerdings negativ, keine Infektion feststellbar.

Jetzt bin ich aber dennoch verunsichert, wäre echt klasse, wenn mir mal jemand Hilfe geben würde.

Ein Programm, das hier noch aufgeführt wird: Getright ist seit Monden nicht mehr auf meinem Rechner, wird hier aber weiter aufgeführt???


Danke im Voraus

Hallo.

Zitat:

Zitat von primusmaster

Ich hatte vor Tagen mal Bitdefender drüberlaufen lassen, der sagte mir es wäre folgende malware zu finden: rustock.C, die Datei befand sich im system32 Ordner und konnte weder verschoben noch desinfiziert werden. Die Datei hieß lasx32.dll oder so ähnlich.

Hieß sie lzx32.sys? Ich nehme schwer an, du kannst sie im system32-Ordner nicht finden (auch nachdem du versteckte Dateien und Ordner sichtbar gemacht hast), richtig?

Das Rustock.B-Rootkit soll sich durch Sophos Anti-Rootkit auffinden lassen; vielleicht findet es auch Rustock.C. Lade dir also Sophos Anti-Rootkit herunter und führe einen Scan durch. Falls sich der Rootkit-Verdacht bestätigt, kommst du allerdings um ein Neuaufsetzen nicht herum.

Kennst du diese Datei?

Zitat:

O4 - HKLM\..\Run: [Launch] "D:\SETUP.EXE"

Wenn nicht, lasse sie bitte bei Virustotal scannen und poste das komplette Ergebnis.

Ich hatte heute nochmal AntiVir installiert und es hatte sofort im Systemordner die von dir genannte Datei gefunden und in die Quarantäne geschickt. Laut Antivir handelt es sich um : Rootkit/gen.

Sohpos hat nichts gefunden, und Virustotal efalls nicht, weil ich da speziell die Datei anwählen muss, diese wurde aber von Antivir in Quarantäne geschobeen. Selbst nach dem wiederherstellen des Virus finde ich ihn nicht im System32 Ordner oder Windows Ordner.

Lt Antivir: c:\windows\system32:lzx32.sys so heißt der Phad wo er gefunden wurde.

Hast du versucht, den Inhalt der Quarantäne bei Virustotal zu scannen?
Bitte lade dir zusätzlich Combofix, lass es laufen und poste das Logfile.

die Log file sieht wie folgt aus:




((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\nm


((((((((((((((((((((((((( Files Created from 2007-06-13 to 2007-07-13 )))))))))))))))))))))))))))))))


2007-07-13 12:27 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-12 20:49 <DIR> d-------- C:\Programme\Lavasoft
2007-07-12 20:49 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
2007-07-12 12:35 <DIR> d-------- C:\Programme\Sophos
2007-07-12 00:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\MailFrontier
2007-07-12 00:12 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2007-07-11 23:14 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-07-11 22:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-07-11 22:04 512,688 --a------ C:\WINDOWS\system32\XceedCry.dll
2007-07-11 22:04 423,784 --a------ C:\WINDOWS\system32\XceedBkp.dll
2007-07-11 22:04 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
2007-07-11 21:47 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-07-10 21:33 47,184 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys
2007-07-07 15:43 <DIR> d-------- C:\Programme\Xuse
2007-07-07 15:42 304,128 --a------ C:\WINDOWS\IsUn0411.exe
2007-07-06 21:31 <DIR> d-------- C:\Programme\Azureus
2007-07-06 21:31 <DIR> d-------- C:\DOKUME~1\admin\ANWEND~1\Azureus
2007-07-01 01:47 <DIR> d-------- C:\kav


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-12 18:49:21 -------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-07-11 22:21:07 -------- d-----w C:\DOKUME~1\admin\ANWEND~1\WinPatrol
2007-07-11 22:14:10 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
2007-07-10 19:31:06 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-07-10 18:42:53 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2007-07-10 16:47:40 -------- d-----w C:\Programme\eMule
2007-06-18 20:04:57 3,513 ----a-w C:\WINDOWS\mozver.dat
2007-06-12 11:13:19 -------- d-----w C:\DOKUME~1\admin\ANWEND~1\Free Download Manager
2007-06-04 13:18:48 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys
2007-06-04 13:17:02 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-06-04 13:14:56 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys
2007-06-03 16:50:17 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-06-03 16:50:17 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-06-03 16:50:17 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2007-05-29 18:51:34 -------- d-----w C:\Programme\Ashampoo
2007-05-28 20:57:22 -------- d-----w C:\Programme\Gabest
2007-05-28 20:56:58 -------- d-----w C:\Programme\GordianKnot
2007-05-28 20:56:57 196,608 ----a-w C:\WINDOWS\system32\avisynth.dll
2007-05-28 20:56:56 -------- d-----w C:\Programme\DivXCodec
2007-05-28 20:56:40 414,272 ----a-w C:\WINDOWS\system32\DivXc32f.dll
2007-05-28 20:56:40 414,272 ----a-w C:\WINDOWS\system32\DivXc32.dll
2007-05-28 20:56:33 33,280 ----a-w C:\WINDOWS\system32\HUFFYUV.DLL
2007-05-28 15:37:45 682,232 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-05-27 21:14:02 -------- d-----w C:\DOKUME~1\admin\ANWEND~1\Bitdefender
2007-05-27 20:09:25 -------- d-----w C:\DOKUME~1\admin\ANWEND~1\BitTorrent
2007-05-27 19:53:25 -------- d-----w C:\Programme\BitTorrent
2007-05-27 18:27:45 -------- d-----w C:\Programme\CCleaner
2007-05-24 22:43:56 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2007-05-24 22:43:56 -------- d-----w C:\Programme\OpenAL
2007-05-24 22:43:55 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-05-23 19:50:45 -------- d-----w C:\DOKUME~1\admin\ANWEND~1\Petroglyph
2007-05-23 19:49:55 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-05-17 15:55:11 -------- d-----w C:\DOKUME~1\admin\ANWEND~1\OpenOffice.org2
2007-05-14 18:54:38 -------- d-----w C:\Programme\OpenOffice.org 2.2
2007-05-14 18:53:43 -------- d-----w C:\Programme\openoffice
2007-04-13 13:19:52 7,680 ----a-w C:\WINDOWS\system32\lsdelete.exe
2006-12-20 22:23:34 457 ----a-w C:\Programme\INSTALL.LOG


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0124123D-61B4-456f-AF86-78C53A0790C5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-10-22 23:08 62080 --a------ C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
2005-05-31 01:04 853672 --a------ C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-06-14 18:32 509592 --a------ C:\Programme\Java\jre1.6.0_02\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-06-14 18:32]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-03 00:51]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-11-29 20:19]
"nwiz"="nwiz.exe" [2006-08-11 21:43 C:\WINDOWS\system32\nwiz.exe]
"Launch"="D:\SETUP.EXE" []
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"WinPatrol"="C:\Programme\BillP Studios\WinPatrol\winpatrol.exe" [2007-04-19 19:33]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 21:43]
"@"="" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]
"OM_Monitor"="C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 20:19]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"InfoCockpit"=C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=sockspy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\aawservice]

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{90dd2222-5728-11db-aa05-00038a000015}]
AutoRun\command- J:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8c12562-5262-11db-a9f1-00173156b3ce}]
AutoRun\command- E:\autorun.exe
directx\command- E:\DirectX9\dxsetup.exe
setup\command- E:\setup.exe


**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-13 12:31:50
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-13 12:32:47 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-13 12:32

--- E O F ---

Seit dem ich jetzt zusätzlich Spybot und Winpatrol draufhabe, kommen immer irgendwelche Änderungen, die ich bestätigen soll:

wie beispielsweise, dass die Startseite vom IE verändert werden soll und ob ich dem zustimme oder nicht? (Meldung durch Spybot)
weiterhin noch gerade eben: Änderung in windows\system32\driver...
habe die Änderung verweigert (gemeldet durch winpatrol)

was ist nur mit diesem PC los?

Es werden in der Logfile auch Programme angezeigt, die ich gar nicht mehr auf dem Rechner habe: Zonealarm, Bittorrent, Bitdefender etc???


Danke für eure Hilfe ;-)

Poste bitte den Inhalt der Datei C:\ComboFix-quarantined-files.txt
Das Scanergebnis für d:\setup.exe steht noch aus, siehe mein erstes Posting.

Zitat:

Sohpos hat nichts gefunden, und Virustotal efalls nicht, weil ich da speziell die Datei anwählen muss, diese wurde aber von Antivir in Quarantäne geschobeen. Selbst nach dem wiederherstellen des Virus finde ich ihn nicht im System32 Ordner oder Windows Ordner.

Lasse AntiVir noch einmal laufen und lasse Funde in die Quarantäne verschieben. Scanne den Inhalt der Quarantäne dann bei Virustotal.

Hallo Franz, hier der Auszug aus der txt Datei:

Code: Alles auswählenAufklappen

ATTFilter

2007-07-13 12:30      6644    --a------    C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.cf


Auflistung der Ordnerpfade
Volumenummer: BC02-A005
C:\QOOBOX
\---Quarantine
    \---Registry_backups
            services_nm.reg.cf
         

Die Quarantäne habe ich aus "Schiss" bereits gelöscht...Antivir findet auch nix mehr. Deinem Wunsch die setup.exe zu prüfen, würde ich gern entsprechen, das Problem dabei ist aber, dass es sich dabei um mein CD-Laufwerk habdelt...da ist aber keine CD drin, daher kann ich nix scannen???

Hallo primusmaster.

Zitat:

Zitat von primusmaster

Hallo Franz, hier der Auszug aus der txt Datei:

"Auszug"? Es handelt sich doch um den gesamten Datei-Inhalt, oder?

Du merkst vielleicht, ich versuche auszuschließen, dass es sich bei dir um einen Fehlalarm handelt. Daher bitte ich dich jetzt zum Folgendes:
Navigiere diesen Pfad entlang

Zitat:

C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.cf

und öffne die Datei services_nm.reg.cf mit dem Editor (Rechtsklick auf das Dateisymbol bzw. den -namen -> Öffnen mit -> Editor).
Es sollte sich ein Editor-Fenster öffnen. Poste bitte seinen Inhalt.

Hallo Franz, ja, es handelte sich um den kompletten Inhalt ;-)


Hier nun die Datei:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\nm]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,4e,00,4d,00,6e,00,74,00,2e,00,73,\
00,79,00,73,00,00,00
"DisplayName"="Netzwerkmonitortreiber"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\nm\Linkage]
"Bind"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,7b,00,34,00,35,\
00,37,00,36,00,30,00,31,00,32,00,39,00,2d,00,37,00,36,00,36,00,43,00,2d,00,\
34,00,43,00,37,00,42,00,2d,00,39,00,31,00,44,00,37,00,2d,00,46,00,44,00,30,\
00,43,00,31,00,39,00,45,00,39,00,32,00,30,00,31,00,37,00,7d,00,00,00,5c,00,\
44,00,65,00,76,00,69,00,63,00,65,00,5c,00,7b,00,30,00,46,00,45,00,37,00,39,\
00,46,00,34,00,43,00,2d,00,41,00,43,00,31,00,44,00,2d,00,34,00,33,00,43,00,\
32,00,2d,00,39,00,38,00,46,00,36,00,2d,00,42,00,41,00,39,00,36,00,44,00,39,\
00,30,00,35,00,37,00,42,00,34,00,44,00,7d,00,00,00,5c,00,44,00,65,00,76,00,\
69,00,63,00,65,00,5c,00,4e,00,64,00,69,00,73,00,57,00,61,00,6e,00,42,00,68,\
00,00,00,00,00
"Route"=hex(7):22,00,7b,00,34,00,35,00,37,00,36,00,30,00,31,00,32,00,39,00,2d,\
00,37,00,36,00,36,00,43,00,2d,00,34,00,43,00,37,00,42,00,2d,00,39,00,31,00,\
44,00,37,00,2d,00,46,00,44,00,30,00,43,00,31,00,39,00,45,00,39,00,32,00,30,\
00,31,00,37,00,7d,00,22,00,00,00,22,00,7b,00,30,00,46,00,45,00,37,00,39,00,\
46,00,34,00,43,00,2d,00,41,00,43,00,31,00,44,00,2d,00,34,00,33,00,43,00,32,\
00,2d,00,39,00,38,00,46,00,36,00,2d,00,42,00,41,00,39,00,36,00,44,00,39,00,\
30,00,35,00,37,00,42,00,34,00,44,00,7d,00,22,00,00,00,22,00,4e,00,64,00,69,\
00,73,00,57,00,61,00,6e,00,42,00,68,00,22,00,00,00,00,00
"Export"=hex(7):5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,4d,00,5f,\
00,7b,00,34,00,35,00,37,00,36,00,30,00,31,00,32,00,39,00,2d,00,37,00,36,00,\
36,00,43,00,2d,00,34,00,43,00,37,00,42,00,2d,00,39,00,31,00,44,00,37,00,2d,\
00,46,00,44,00,30,00,43,00,31,00,39,00,45,00,39,00,32,00,30,00,31,00,37,00,\
7d,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,4d,00,5f,\
00,7b,00,30,00,46,00,45,00,37,00,39,00,46,00,34,00,43,00,2d,00,41,00,43,00,\
31,00,44,00,2d,00,34,00,33,00,43,00,32,00,2d,00,39,00,38,00,46,00,36,00,2d,\
00,42,00,41,00,39,00,36,00,44,00,39,00,30,00,35,00,37,00,42,00,34,00,44,00,\
7d,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,4e,00,4d,00,5f,\
00,4e,00,64,00,69,00,73,00,57,00,61,00,6e,00,42,00,68,00,00,00,00,00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\nm\Parameters]
@=""

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\nm\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

Wenn es ein Fehlalarm sein sollte, stellt sich mir die Frage, weshalb

Antivir mit Rootgen Trojaner antwortete
und
Bitdefender mit Rustock.C Trojaner ???

bei ein und der selben Datei...du weißt schon "lzx32.sys" Was ist das überhaupt für eine Datei gewesen? Nicht, dass ich Sie hätte aus der Quaratäne von Antivir nicht hätte löschen dürfen??

Greez David

Keine Antwort Franz???

Hallo,

Zitat:

Antivir mit Rootgen Trojaner antwortete
und
Bitdefender mit Rustock.C Trojaner ???

bei ein und der selben Datei.

Namen sind Schall und Rauch...jeder AV-Hersteller gibt seinen erkannten "Bösewichter" einen eigenen Namen.
So wie halt "Eltern" ihr Kind selbst benennen...

Zitat:

Das Scanergebnis für d:\setup.exe steht noch aus

Es dürfte sich aber eigentlich erledigt haben,nach obigem Fund.....

Zitat:

Was ist das überhaupt für eine Datei gewesen

Google fragen ?

Mach dich mit der Anleitung zum Neuaufsetzen vertraut....
Alles andere sind jetzt Zeitverzögerungen...
Irrlicht