|
Antiviren-, Firewall- und andere Schutzprogramme: Irgendwas blockiert http://192.168.2.1, nur nicht die FirewallWindows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen. |
19.09.2007, 00:08 | #1 |
| Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall Es fing heute damit an, daß ich feststellen musste, dass von mir Passwörter missbraucht wurden... Auch von meinem Paypal-Konto wurde Geld abgebucht. Zum Glück war nicht viel drauf. Und ich dachte, mit dem Bitdefender sei mein PC sicher... Dann musste ich mir Spyware Doctor besorgen, der hat dann noch paar Trojaner gefunden und entfernt. Auch mein T-Online-Passwort musste ich ändern. Dann fing ein anderes Problem an: Ich kam nicht mehr auf meine Router-Konfiguration (http:192.168.2.1). Ping geht zwar, aber http nicht. Egal welcher Browser oder, auch Firewall hatte ich deaktiviert. Im abgesicherten Modus mit Netzwerktreibern konnte ich es dann ändern und konnte auch wieder ins Internet. Also muss irgendwo eine versteckte Einstellung oder Firewall sein, die mir diese Adresse blockt. Wer weiss ob ich den Rechner nicht sogar neu installieren muss. Hijackthis hat NACH Bitdefender und Spyware Doctor noch ein NOD64.exe gefunden... Das Logfile kommt hier: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 0:59:48 , on 19.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\xampp\apache\bin\apache.exe C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\xampp\mysql\bin\mysqld-nt.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\xampp\apache\bin\apache.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\TaskSwitchXP\TaskSwitchXP.exe C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MI3AA1~1\wcescomm.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\xampp\phpMyAdmin\rundll.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Trillian\trillian.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\IDM Computer Solutions\UltraEdit-32\uedit32.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.runescape.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKCU\..\Run: [TaskSwitchXP] C:\Programme\TaskSwitchXP\TaskSwitchXP.exe O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe" /tray O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155473588281 O17 - HKLM\System\CCS\Services\Tcpip\..\{64A44E2D-1173-4C27-9209-5FBEB43DEEBA}: NameServer = 192.168.2.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\xampp\apache\bin\apache.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: mysql - Unknown owner - C:\Programme\xampp\mysql\bin\mysqld-nt.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\Programme\xampp\phpMyAdmin\rundll.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 10269 bytes Gruß Egon Schmid |
19.09.2007, 05:14 | #2 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Irgendwas blockiert http://192.168.2.1, nur nicht die FirewallZitat:
das ist leider ein Irrtum, denn mit einem Virenscanner allein machst du wenig bis garnichts sicher. Zitat:
Zitat:
Allerdings sehe ich in deinem HJT-Logfile keine Auffälligkeiten. Poste mal bitte die Namen und Fundorte der angeblichen Trojaner. Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScanUnd mach bitte ein Filelist: 1. Lade das filelist.zip auf deinen Desktop herunter.
__________________ |
19.09.2007, 10:30 | #3 | |
/// caddy ☀ | Irgendwas blockiert http://192.168.2.1, nur nicht die FirewallZitat:
Sicherheitshalber würde ich von einem sicheren Rechner aus alle Passwörter und auch die Email Addy bei Ebay/Paypal ändern und behalte in der nächsten Zeit Deinen Ebay-Account im Auge. Falls da schon Auktionen drin sind, die nicht von Dir stammen eBay Foren: Sammelliste für gehackte Accounts (Take ... oder falls Du nicht mehr in den Account reinkommst Mich-Seite für zumchat aufrufen Bitte vorher kurz durchlesen Grüße cad |
19.09.2007, 16:10 | #4 |
/// TB-Ausbilder | Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall Hi, du hast nicht zufällig an die Webseite castlecops.com "gespendet"? Wenn doch stehen die Chancen recht gut, dass du dein Geld wiederbekommst, da laufen nämlich grad Bemühungen alle zu unrecht eingegangen Überweisungen zurück zu erstatten. quelle lg myrtille |
19.09.2007, 16:24 | #5 | |
| Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall Nein, es war dafür: Zitat:
|
19.09.2007, 16:43 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall Was ist denn mit den Logfiles? Die interessieren jetzt mehr als die Paypal-Transaktionsdetails, v.a. deswegen weil ja schon (angeblich) Schädlinge gefunden wurden.
__________________ --> Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall |
19.09.2007, 17:06 | #7 |
| Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall Hier ist Log-file 1 (Silent runners) Code:
ATTFilter "Silent Runners.vbs", revision 52, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "TaskSwitchXP" = "C:\Programme\TaskSwitchXP\TaskSwitchXP.exe" ["Alexander Avdonin"] "Copernic Desktop Search 2" = ""C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe" /tray" ["Copernic Technologies Inc."] "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "H/PC Connection Agent" = ""C:\PROGRA~1\MI3AA1~1\wcescomm.exe"" [MS] "Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."] "ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime" [null data] "iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "UnlockerAssistant" = ""C:\Programme\Unlocker\UnlockerAssistant.exe"" [null data] "NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"" ["Sun Microsystems, Inc."] "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data] "BDMCon" = "C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe" ["SOFTWIN S.R.L."] "BDAgent" = ""C:\Programme\Softwin\BitDefender10\bdagent.exe"" ["SOFTWIN S.R.L."] "Google Desktop Search" = ""C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup" ["Google"] "PCSuiteTrayApplication" = "C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup" ["Nokia"] "SDTray" = ""C:\Programme\Spyware Doctor\SDTrayApp.exe"" ["PC Tools"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] {C451C08A-EC37-45DF-AAAD-18B51AB5E837}\(Default) = (no title provided) -> {HKLM...CLSID} = "PDFCreator Toolbar Helper" \InProcServer32\(Default) = "C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension" -> {HKLM...CLSID} = "SimpleShlExt Class" \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{8932AEFE-9DB6-4f43-AFB2-5682F55E773A}" = "VPCHostCopyHook" -> {HKLM...CLSID} = "VPCHostCopyHook" \InProcServer32\(Default) = "C:\Programme\Microsoft Virtual PC\VPCShExH.DLL" [MS] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes" -> {HKLM...CLSID} = "iTunes" \InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."] "{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}" = "CorelDRAW Shell-Erweiterungskomponente" -> {HKLM...CLSID} = "CorelDRAW Shell Extension Component" \InProcServer32\(Default) = "C:\Programme\Corel\Corel Graphics 11\DRAW\CDRVIEWER\CrlShell110.dll" [null data] "{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders" -> {HKLM...CLSID} = "Meine freigegebenen Ordner" \InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS] "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" = "UnlockerShellExtension" -> {HKLM...CLSID} = "UnlockerShellExtension" \InProcServer32\(Default) = "C:\Programme\Unlocker\UnlockerCOM.dll" [null data] "{59F96530-871E-11D3-BD55-00A0C9A341EC}" = "Registry" -> {HKLM...CLSID} = "Registry" \InProcServer32\(Default) = "C:\WINDOWS\system32\regxplor.dll" [empty string] "{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "Nokia Phone Browser" -> {HKLM...CLSID} = "Nokia Phone Browser" \InProcServer32\(Default) = "C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"] "{49BF5420-FA7F-11cf-8011-00A0C90A8F78}" = "Mobile Device" -> {HKLM...CLSID} = "Mobiles Gerät" \InProcServer32\(Default) = "C:\PROGRA~1\MI3AA1~1\Wcesview.dll" [MS] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ <<!>> "AppInit_DLLs" = "sockspy.dll" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ GizmoShellMenuExt\(Default) = "{AF859436-B9BD-4154-B594-2B8D1F4295A6}" -> {HKLM...CLSID} = "GizmoShellMenuExt Class" \InProcServer32\(Default) = "C:\Programme\Gizmo\gshell.dll" [empty string] UltraEdit-32\(Default) = "{b5eedee0-c06e-11cf-8c56-444553540000}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\IDM Computer Solutions\UltraEdit-32\ue32ctmn.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" -> {HKLM...CLSID} = "UnlockerShellExtension" \InProcServer32\(Default) = "C:\Programme\Unlocker\UnlockerCOM.dll" [null data] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\ UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" -> {HKLM...CLSID} = "UnlockerShellExtension" \InProcServer32\(Default) = "C:\Programme\Unlocker\UnlockerCOM.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoDrives" = (REG_BINARY) hex:02 00 00 00 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\ss3dfo.scr" [MS] Startup items in "Egon" & "All Users" startup folders: ------------------------------------------------------ C:\Dokumente und Einstellungen\Egon\Startmenü\Programme\Autostart "Trillian" -> shortcut to: "C:\Programme\Trillian\trillian.exe" ["Cerulean Studios"] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "ATI CATALYST System Tray" -> shortcut to: "C:\Programme\ATI Technologies\ATI.ACE\CLI.exe SystemTray" [null data] "BlueSoleil" -> shortcut to: "C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe" ["IVT Corporation."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}" -> {HKLM...CLSID} = "PDFCreator Toolbar" \InProcServer32\(Default) = "C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll" [null data] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}" = "PDFCreator Toolbar" -> {HKLM...CLSID} = "PDFCreator Toolbar" \InProcServer32\(Default) = "C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll" [null data] Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ {9C3FCA1F-99E3-48F2-A7F4-DD3931B2F99A}\(Default) = (no title provided) -> {HKLM...CLSID} = "Copernic Desktop Search 2" \InProcServer32\(Default) = "C:\Programme\Copernic Desktop Search 2\DesktopSearchBand2526.dll" ["Copernic Technologies Inc."] HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."] {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\ "ButtonText" = "Create Mobile Favorite" "CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}" -> {HKLM...CLSID} = "Create Mobile Favorite" \InProcServer32\(Default) = "C:\PROGRA~1\MI3AA1~1\INetRepl.dll" [MS] {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\ "MenuText" = "Mobilen Favoriten erstellen..." "CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}" -> {HKLM...CLSID} = "Create Mobile Favorite" \InProcServer32\(Default) = "C:\PROGRA~1\MI3AA1~1\INetRepl.dll" [MS] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Internet Explorer Address Prefixes: ----------------------------------- Prefix for specific service (i.e., "www") HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\ <<H>> "HKEY_" = "reg://" <<H>> "HKLM" = "reg://" <<H>> "HKCR" = "reg://" <<H>> "HKCU" = "reg://" <<H>> "HKCC" = "reg://" <<H>> "HKPD" = "reg://" <<H>> "HKDD" = "reg://" HOSTS file ---------- C:\WINDOWS\System32\drivers\etc\HOSTS maps: 17 domain names to IP addresses, 1 of the IP addresses is *not* localhost! Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Apache2, Apache2, ""C:\Programme\xampp\apache\bin\apache.exe" -k runservice" ["Apache Software Foundation"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."] BitDefender Communicator, XCOMM, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service" ["SOFTWIN S.R.L"] BitDefender Desktop Update Service, LIVESRV, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service" ["SOFTWIN S.R.L."] BitDefender Scan Server, bdss, ""C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service" [null data] BitDefender Virus Shield, VSSERV, ""C:\Programme\Softwin\BitDefender10\vsserv.exe" /service" ["SOFTWIN S.R.L."] FileZilla Server FTP server, FileZilla Server, "C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe" ["FileZilla Project"] iPodService, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."] Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS] mysql, mysql, "C:\Programme\xampp\mysql\bin\mysqld-nt.exe --defaults-file=C:\Programme\xampp\mysql\bin\my.cnf mysql" [null data] PC Tools Auxiliary Service, sdAuxService, "C:\Programme\Spyware Doctor\svcntaux.exe" ["PC Tools"] PC Tools Security Service, sdCoreService, "C:\Programme\Spyware Doctor\swdsvc.exe" ["PC Tools"] ServiceLayer, ServiceLayer, ""C:\Programme\PC Connectivity Solution\ServiceLayer.exe"" ["Nokia."] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] PDF Printer Port\Driver = "ppmonnt.dll" [null data] PDFCreator\Driver = "pdfcmnnt.dll" [null data] Umgeleiteter Anschluá\Driver = "redmonnt.dll" [null data] ---------- (launch time: 2007-09-19 14:52:42) <<!>>: Suspicious data at a malware launch point. <<H>>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 127 seconds, including 4 seconds for message boxes) Geändert von phpfuchs (19.09.2007 um 17:13 Uhr) |
19.09.2007, 17:29 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall Im silentrunners ist mir das hier aufgeallen: Code:
ATTFilter Internet Explorer Address Prefixes: ----------------------------------- Prefix for specific service (i.e., "www") HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\ <<H>> "HKEY_" = "reg://" <<H>> "HKLM" = "reg://" <<H>> "HKCR" = "reg://" <<H>> "HKCU" = "reg://" <<H>> "HKCC" = "reg://" <<H>> "HKPD" = "reg://" <<H>> "HKDD" = "reg://" Code:
ATTFilter HOSTS file ---------- C:\WINDOWS\System32\drivers\etc\HOSTS maps: 17 domain names to IP addresses, 1 of the IP addresses is *not* localhost!
__________________ Logfiles bitte immer in CODE-Tags posten |
19.09.2007, 18:08 | #9 | ||
| Irgendwas blockiert http://192.168.2.1, nur nicht die FirewallZitat:
Zitat:
|
19.09.2007, 18:14 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall Ok, wenn da nichts manuell eingetragen wurde kannst du via regedit die entsprechenden Einträge in HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\ löschen. Reich bitte die anderen Logfiles (escan, blacklight, filelist) nach.
__________________ Logfiles bitte immer in CODE-Tags posten |
20.09.2007, 17:19 | #11 |
| Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall So, es geht wieder. eScan brauchte 6 Stunden, bis alles gescannt war. Musste schlafen und arbeiten auch noch. Hier kommt das Log: Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.4 Sprache: German Virus-Datenbank Datum: 9/18/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "powerstrip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "zlob Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})! Action taken: Keine Aktion vorgenommen. System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen. System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})! Action taken: Keine Aktion vorgenommen. System found infected with toolbardeepdive Adware ({446761d5-3ac9-40cc-9dcd-cde23e2ce31a})! Action taken: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen. System found infected with favsearch Spyware/Adware (fs.exe)! Action taken: Keine Aktion vorgenommen. System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\system32\sysdriver.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-1935655697-1303643608-682003330-1003\Dc135.exe/run.exe//PE_Patch.UPX//UPX//stream//data0006 infiziert von "Trojan-Downloader.Win32.Zlob.aeh" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-1935655697-1303643608-682003330-1003\Dc136\vrlfl09a.exe/run.exe infiziert von "Trojan-Dropper.Win32.Agent.aue" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP285\A0072022.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP289\A0073600.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP289\A0073601.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\sysdriver.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Programme\Hackerbox\chriscontrol-v1.7.exe/ChrisControl-v1.7.exe//PE_Patch.UPX//UPX//psexec.exe//UPX markiert als "not-a-virus:RiskTool.Win32.PsKill.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\Programme\Hackerbox\tightvnc-1.2.9-setup.exe//data0002 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC-based.b. Keine Aktion vorgenommen. Datei C:\Programme\xampp\phpMyAdmin\AdmDll.dll markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.20. Keine Aktion vorgenommen. Datei C:\Programme\xampp\phpMyAdmin\rundll.ex_ markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.21. Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP289\A0074723.exe markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.21. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\DOKUME~1\Egon\LOKALE~1\Temp\cmdlineext02.dll Offending file found: C:\Dokumente und Einstellungen\Egon\Desktop\firefox-downloads\fs.exe Offending file found: C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\temp\cmdlineext02.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Programme\intcodec ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\powerstrip !!! Offending Key found: HKCR\magnet !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\M !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\N !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{423a74c5-e299-11db-8d48-806d6172696f} !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a42a0c49-a7a8-11db-b5f3-0030055ea0c1} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB22.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB313.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB35.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB39.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB3B.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB3CB.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\Egon\LOKALE~1\Temp\GLB76.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB22.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB313.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB35.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB39.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB3B.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB3CB.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Egon\Lokale Einstellungen\Temp\GLB76.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\MSDN\2003APR\1033\dnexcl2k2.hxs nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts : C:\WINDOWS\System32\drivers\etc\hosts :192.168.2.100 linux1 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 312079 Gefundene Viren: 27 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 190 Dauer des Scans bisher: 06:13:46 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 18:14:05,60 Batchende: 18:15:53,12 |
20.09.2007, 17:42 | #12 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall Oje.. Zitat:
Code:
ATTFilter C:\RECYCLER\S-1-5-21-1935655697-1303643608-682003330-1003\Dc136\vrlfl09a.exe C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP285\A0072022.exe C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP289\A0073600.exe C:\System Volume Information\_restore{067B8D74-A0B7-46F7-BCA0-BDEF4EE094ED}\RP289\A0073601.exe Zitat:
Für verlässlichere Analysen brauchen wir IMHO für dein System allerdings schon eine Notfall-CD ala BartPE bzw. UBCD4WIN.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall |
abgesicherten modus, bho, blockiert, browser, computer, desktop, einstellung, ellung, excel, firefox, geld, google, helfen, hijack, hijackthis, hkus\s-1-5-18, internet explorer, locker, logfile, mozilla, mozilla firefox, netzwerk, pdfcreator, ping geht, problem, s-1-5-18, security, software, solution, spyware, system, trend micro, trojaner, trojaner gefunden, virus, windows, windows xp |