|
Plagegeister aller Art und deren Bekämpfung: antiviruspro infektion und blauer bildschirmWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.03.2008, 20:42 | #16 |
Administrator > Competence Manager | antiviruspro infektion und blauer bildschirmPoste bitte noch den Verlauf von Combofix, auch wenn alles wieder funktioniert muss noch lange nicht alles entfernt worden sein.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
25.03.2008, 21:55 | #17 |
| antiviruspro infektion und blauer bildschirm nun denn hoffentlich der finale test
__________________das log von combofix: ComboFix 08-03-18.1 - Marcel 2008-03-25 21:50:24.5 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.316 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\All Users\Dokumente\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-02-25 bis 2008-03-25 )))))))))))))))))))))))))))))) . 2008-03-25 20:24 . 2008-03-25 20:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-03-25 20:24 . 2008-03-25 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Malwarebytes 2008-03-25 20:24 . 2008-03-25 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-03-25 20:19 . 2008-03-25 20:19 269,334 --a------ C:\WINDOWS\system32\nehsbqdofqt.bmp 2008-03-25 19:44 . 2008-03-25 19:44 269,334 --a------ C:\WINDOWS\system32\qporqd.bmp 2008-03-24 14:21 . 2008-03-24 14:21 269,334 --a------ C:\WINDOWS\system32\sralkf.bmp 2008-03-24 14:03 . 2008-03-24 14:03 269,334 --a------ C:\WINDOWS\system32\gnatonid.bmp 2008-03-24 13:47 . 2008-03-24 13:47 269,334 --a------ C:\WINDOWS\system32\ehkrmhkbil.bmp 2008-03-24 13:32 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-03-24 13:32 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-03-24 13:32 . 2008-03-22 15:49 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-03-24 13:32 . 2008-03-15 17:16 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-03-24 13:32 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-03-24 13:32 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-03-24 13:32 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-03-24 13:32 . 2008-03-24 13:43 2,552 --a------ C:\WINDOWS\system32\tmp.reg 2008-03-22 14:40 . 2008-03-22 14:40 269,334 --a------ C:\WINDOWS\system32\ehgfidcf.bmp 2008-03-22 14:35 . 2008-03-22 14:35 269,334 --a------ C:\WINDOWS\system32\hkrmdsnqlcb.bmp 2008-03-22 13:10 . 2008-03-22 13:10 <DIR> d-------- C:\Programme\CCleaner 2008-03-21 18:25 . 2008-03-21 18:25 <DIR> d-------- C:\Programme\antivirus-kaspa 2008-03-21 16:37 . 2008-03-21 16:37 <DIR> d-------- C:\Programme\Trend Micro 2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\zts2.exe 2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2008-03-19 11:24 . 2008-03-19 11:29 26 --a------ C:\WINDOWS\Lic.xxx 2008-03-19 11:23 . 2002-12-31 13:00 153,600 --a------ C:\WINDOWS\R.COM 2008-03-19 11:23 . 2002-12-31 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM 2008-03-19 10:32 . 2008-03-19 10:32 <DIR> d-------- C:\WINDOWS\ERUNT 2008-03-19 10:29 . 2008-03-19 11:04 <DIR> d-------- C:\SDFix 2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Programme\Avira 2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-03-02 17:20 . 2008-03-25 21:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-03-02 17:20 . 2008-03-02 17:20 1,409 --a------ C:\WINDOWS\QTFont.for . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-14 11:18 --------- d-----w C:\Programme\iTunes 2008-03-14 11:18 --------- d-----w C:\Programme\iPod 2008-03-02 16:18 --------- d-----w C:\Programme\QuickTime 2008-02-07 15:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIModeChange"="Ati2mdxx.exe" [2004-02-24 18:08 28672 C:\WINDOWS\system32\Ati2mdxx.exe] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-02-03 20:10 335872] "AGRSMMSG"="AGRSMMSG.exe" [2003-06-10 03:37 87751 C:\WINDOWS\AGRSMMSG.exe] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-17 02:40 126976] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-17 02:40 561152] "Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [2003-09-08 15:02 61440] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 23:01 249896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 00:17:18 147456] hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 00:06:58 28672] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Bearshare\\BearShare.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2002-12-24 18:52] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\start.bat . Inhalt des "geplante Tasks" Ordners "2008-03-06 17:21:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2008-01-07 12:00:24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1191493774.job" - C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-25 21:51:28 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-03-25 21:51:50 ComboFix-quarantined-files.txt 2008-03-25 20:51:42 ComboFix2.txt 2008-03-25 19:17:55 ComboFix3.txt 2008-03-22 13:36:51 ComboFix4.txt 2008-03-22 12:16:03 ComboFix5.txt 2008-03-19 10:57:00 ________________________________________________________ und wie siehts aus ? |
27.03.2008, 17:01 | #18 |
| antiviruspro infektion und blauer bildschirm hallöchen !
__________________würd nur gern wissen ob mit meinem rechner jetzt alles wieder ok ist und ich ihn wieder benutzen kann ??? dankeschön! |
27.03.2008, 17:18 | #19 | |
Administrator > Competence Manager | antiviruspro infektion und blauer bildschirmZitat:
Ich brauche unbedingt noch die Auswertung von Malwarebytes, das hast du doch schon durchgeführt, oder?! Hier nochmal die Anleitung: Malwarebytes' Anti-Malware Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde: Download von Malwarebytes' Anti-Malware
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. Geändert von Sunny (27.03.2008 um 17:38 Uhr) |
27.03.2008, 17:33 | #20 |
| antiviruspro infektion und blauer bildschirm ja genau hab ich schon durchgeführt und scheint geholfen zu haben : Malwarebytes' Anti-Malware 1.08 Datenbank Version: 471 Scan Art: Schnell Scan Objekte gescannt: 26329 Scan Dauer: 3 minute(s), 23 second(s) Infizierte Speicher Prozesse: 1 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 35 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicher Prozesse: C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe (Trojan.Downloader) -> Unloaded process successfully. Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Interface\{7afdb136-8433-46af-9d8d-42ab37cccd0f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{9222ee90-928a-455e-9298-98d41f2f5ce3} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{c9328120-16f7-4aa3-9408-60fd5bdcc37f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d4ad2785-64dc-4c22-9c1d-62fa759ea137} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{5addfe10-9b32-4489-adc3-495750b7eaf9} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{07ef06d7-8ba8-4f5a-886b-84cc38fcdf5f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{10f07e10-ba78-4162-82e9-4caad2d18478} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{11df24a1-a106-4c7f-bf2c-f7d5411fe74e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2036b120-bd5d-4e50-b82f-d4d6d522f68e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{215f19fd-a509-4e03-958e-ea3b3f9b2ff9} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{280c7289-8caf-446a-98fe-c0f9217cee1e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2dd00c35-ae7f-4b96-912d-1a991b66f363} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2fa9e9a6-5956-4977-9bef-a067b996f96f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{305dbf41-6179-4d97-87a8-bb23b0ff74fe} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{3e755986-4cd0-4cfe-bfa5-23cdfd354288} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4463934e-005b-4b73-8881-9e58603b2dcb} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4f8252da-ddbd-4e3f-a84d-6d4ef8bacd4e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{4fdbc56b-873e-4663-ae52-0a60f2bf2053} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{58da7d32-ce59-4e58-9b6e-295ed4986dd3} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{5e6ae9e1-1495-4ade-b94c-9416458f75b7} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{6788fa7b-f9fb-4d97-a631-11171519ec47} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{68579fa8-3b04-49c1-9cc7-6f36f71e17dc} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{9f18caba-442d-4ab9-82f7-db4c7a93dc3c} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{afe2f1ad-488f-4845-8707-76b31e6aa7ff} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{bfe95ca1-4501-48e3-813d-ff5cbc335d0d} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{c6b25ff9-9788-4377-840f-e6990f990b56} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{cd959f6a-3083-42cd-8b9a-e5a79897f071} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d0da99db-1661-464d-ad36-52f0d03b959f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d2bed334-77e8-47fe-b68c-ff7179114ee4} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{d4b336b9-03d5-47df-984d-1135d4a10999} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{db29e08e-bc52-40a7-8099-0935d7dbee63} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{e359a09a-6e50-4e21-8079-329efa21db86} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{f14759bd-36b5-4c42-9451-00db471ab5c2} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{fff85aa2-8c3e-43f5-934b-31eeab0258bc} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Typelib\{ada69949-6704-425c-808e-cf86f5666aba} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BluetoothAuthorizationAgent (Trojan.Downloader) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe (Trojan.Downloader) -> Quarantined and deleted successfully. vielen dank fürs drüberschauen !! |
27.03.2008, 17:38 | #21 |
Administrator > Competence Manager | antiviruspro infektion und blauer bildschirm Es ist für dich leider noch nicht beendet: Deckards System Scanner (DSS) Hier gibt es das Tool -> dss.exe * Schließe alle Anwendungen * Doppelklicke dss.exe um das Programm zu starten * Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen. Ein weiteres Logfile, die extra.txt liegt im Verzeichnis c:\Deckard\SystemScanner\extra.txt * Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE] Was Deckards System Scanner macht: * Es Erstellt einen System Wiederherstellungspunkt * es säubert die temporären Dateien, Downloaded Program Files, Internet Cache Dateien und es leert den Mülleimer auf allen Lauferken.
__________________ --> antiviruspro infektion und blauer bildschirm |
27.03.2008, 17:53 | #22 |
| antiviruspro infektion und blauer bildschirm hey also hier die 2 logs von deckard : Code:
ATTFilter Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Professional (build 2600) SP 2.0 Architecture: X86; Language: German CPU 0: Intel(R) Pentium(R) M processor 1.60GHz Percentage of Memory in Use: 40% Physical Memory (total/avail): 510.98 MiB / 302.05 MiB Pagefile Memory (total/avail): 1249.48 MiB / 1019.97 MiB Virtual Memory (total/avail): 2047.88 MiB / 1937.69 MiB C: is Fixed (NTFS) - 74.52 GiB total, 44.86 GiB free. D: is CDROM (CDFS) \\.\PHYSICALDRIVE0 - TOSHIBA MK8032GAX - 74.53 GiB - 1 partition \PARTITION0 (bootable) - Installierbares Dateisystem - 74.52 GiB - C: -- Security Center ------------------------------------------------------------- Windows Internal Firewall is disabled. FirstRunDisabled is set. AV: Avira AntiVir PersonalEdition v 7.0.3.83 (Avira GmbH) [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\Bearshare\\BearShare.exe"="C:\\Programme\\Bearshare\\BearShare.exe:*:Enabled:BearShare" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" -- Environment Variables ------------------------------------------------------- ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users APPDATA=C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten CLASSPATH=.;C:\Programme\QuickTime\QTSystem\QTJava.zip CLIENTNAME=Console CommonProgramFiles=C:\Programme\Gemeinsame Dateien COMPUTERNAME=CHRISTINA ComSpec=C:\WINDOWS\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Dokumente und Einstellungen\Marcel LOGONSERVER=\\CHRISTINA NUMBER_OF_PROCESSORS=1 OS=Windows_NT Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\QuickTime\QTSystem PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 13 Stepping 6, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0d06 ProgramFiles=C:\Programme PROMPT=$P$G QTJAVA=C:\Programme\QuickTime\QTSystem\QTJava.zip SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOKUME~1\Marcel\LOKALE~1\Temp TMP=C:\DOKUME~1\Marcel\LOKALE~1\Temp USERDOMAIN=CHRISTINA USERNAME=Marcel USERPROFILE=C:\Dokumente und Einstellungen\Marcel windir=C:\WINDOWS -- User Profiles --------------------------------------------------------------- Marcel (admin) -- Add/Remove Programs --------------------------------------------------------- --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BAD400A0-F924-4BB6-9651-CD45642B3917}\SETUP.EXE" -l0x9 anything --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Actiontec MDC AC'97 Modem v2122D --> agrsmdel Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543} Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4} ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean ATK0100 ACPI UTILITY --> C:\WINDOWS\ATK0100\XPunin.exe Avira AntiVir PersonalEdition Classic --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE AviSynth 2.5 --> "C:\Programme\AviSynth 2.5\Uninstall.exe" BearShare --> C:\PROGRA~1\BEARSH~1\UNWISE.EXE C:\PROGRA~1\BEARSH~1\INSTALL.LOG CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe" EMEA02 --> MsiExec.exe /X{949460AD-3C77-44FD-8D78-BF605EF28114} Free Video to iPod Converter version 2.4 --> "C:\Programme\Free Video to iPod Converter\unins000.exe" HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall HP Foto- und Bildbearbeitung 2.0 - All-in-One --> MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1} HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber --> MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B} HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series --> C:\Programme\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot hp psc 1200 series --> MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5} HP Speicher-Disc --> MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70} iDump Build: 24 --> C:\Programme\iDump\uninst.exe iPod for Windows 2006-01-10 --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{3D047C15-C859-45F7-81CE-F2681778069B} /l1031 iTunes --> MsiExec.exe /I{80FD852F-5AAC-4129-B931-06AAFFA43138} Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9} PhotoBookWorld 1.2 --> C:\Programme\PhotoBookWorld\unins000.exe QuickTime --> MsiExec.exe /I{BFD96B89-B769-4CD6-B11E-E79FFD46F067} RTLSetup for Realtek RTL8139/810x Family NIC 3.00 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{97AA0C55-AFAD-4126-B21C-F1318FB6DADA}\SETUP.EXE" -l0x9 REMOVE SAMSUNG CDMA Modem Driver Set --> C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe SAMSUNG Mobile USB Modem ^^ --> C:\WINDOWS\system32\Samsung_USB_Drivers\4\SSVDUninstall.exe SAMSUNG Mobile USB Modem 1.0 Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe SAMSUNG Mobile USB Modem Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe Samsung PC Studio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -l0x7 -removeonly Samsung PC Studio 3 USB Driver Installer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -l0x7 -removeonly Synaptics TouchPad --> rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall -- Application Event Log ------------------------------------------------------- Event Record #/Type1427 / Warning Event Submitted/Written: 03/27/2008 05:47:04 PM Event ID/Source: 4113 / H+BEDV AntiVir Event Description: AntiVir erkannte in der Datei C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix.exe verdächtigen Code mit der Bezeichnung 'DR/Tool.Reboot.F.69'! Event Record #/Type1398 / Warning Event Submitted/Written: 03/25/2008 08:28:26 PM Event ID/Source: 4113 / H+BEDV AntiVir Event Description: AntiVir erkannte in der Datei C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix.exe verdächtigen Code mit der Bezeichnung 'DR/Tool.Reboot.F.69'! Event Record #/Type1395 / Warning Event Submitted/Written: 03/25/2008 08:21:32 PM Event ID/Source: 4113 / H+BEDV AntiVir Event Description: AntiVir erkannte in der Datei C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix.exe verdächtigen Code mit der Bezeichnung 'DR/Tool.Reboot.F.69'! Event Record #/Type1263 / Error Event Submitted/Written: 03/18/2008 08:51:36 PM Event ID/Source: 1002 / Application Hang Event Description: Stillstehende Anwendung IEXPLORE.EXE, Version 6.0.2900.2180, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Event Record #/Type1262 / Error Event Submitted/Written: 03/18/2008 08:32:42 PM / 03/18/2008 08:32:43 PM Event ID/Source: 1002 / Application Hang Event Description: Stillstehende Anwendung IEXPLORE.EXE, Version 6.0.2900.2180, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type10550 / Warning Event Submitted/Written: 03/27/2008 02:33:14 PM Event ID/Source: 8021 / BROWSER Event Description: Der Suchdienst konnte keine Serverliste vom Hauptsuchdienst "\\MAXLAPTOP" auf dem Netzwerk "\Device\NetBT_Tcpip_{5CE1059E-6444-4A10-BBDA-5F48380D568C}" erhalten. Daten: Fehlercode. Event Record #/Type10439 / Warning Event Submitted/Written: 03/25/2008 08:34:17 PM Event ID/Source: 3019 / MRxSmb Event Description: Der Redirectordienst konnte den Verbindungstyp nicht erkennen. Event Record #/Type10438 / Warning Event Submitted/Written: 03/25/2008 08:33:33 PM Event ID/Source: 3019 / MRxSmb Event Description: Der Redirectordienst konnte den Verbindungstyp nicht erkennen. Event Record #/Type10335 / Error Event Submitted/Written: 03/25/2008 08:18:56 PM Event ID/Source: 10005 / DCOM Event Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF} Event Record #/Type10334 / Error Event Submitted/Written: 03/25/2008 08:18:28 PM Event ID/Source: 10005 / DCOM Event Description: Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811} -- End of Deckard's System Scanner: finished at 2008-03-27 17:50:29 ------------ _____________________________________________________________ Deckard's System Scanner v20071014.68 Run by Marcel on 2008-03-27 17:49:36 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 75: 2008-03-27 16:49:43 UTC - RP145 - Deckard's System Scanner Restore Point 74: 2008-03-27 13:47:05 UTC - RP144 - Systemprüfpunkt 73: 2008-03-25 19:04:54 UTC - RP143 - Systemprüfpunkt 72: 2008-03-24 13:41:07 UTC - RP142 - Systemprüfpunkt 71: 2008-03-22 13:32:45 UTC - RP141 - ComboFix created restore point -- First Restore Point -- 1: 2007-12-28 20:17:17 UTC - RP71 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. Total Physical Memory: 511 MiB (512 MiB recommended). -- HijackThis (run as Marcel.exe) ---------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:50:04, on 27.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\ATK0100\Hcontrol.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Marcel\Desktop\dss.exe C:\PROGRA~1\TRENDM~1\HIJACK~1\Marcel.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 4940 bytes -- File Associations ----------------------------------------------------------- All associations okay. -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R1 AFS2K - c:\windows\system32\drivers\afs2k.sys <Not Verified; Oak Technology Inc.; AFS> S3 catchme - c:\dokume~1\marcel\lokale~1\temp\catchme.sys (file missing) -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler> R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service> -- Device Manager: Disabled ---------------------------------------------------- No disabled devices found. -- Scheduled Tasks ------------------------------------------------------------- 2008-03-06 18:21:04 276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job 2008-01-07 13:00:24 336 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1191493774.job -- Files created between 2008-02-27 and 2008-03-27 ----------------------------- 2008-03-25 20:24:18 0 d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-03-24 13:32:54 2552 --a------ C:\WINDOWS\system32\tmp.reg 2008-03-24 13:32:33 25600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-03-24 13:32:33 289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; > 2008-03-24 13:32:33 86528 --a------ C:\WINDOWS\system32\VACFix.exe <Not Verified; S!Ri.URZ; VACFix> 2008-03-24 13:32:33 288417 --a------ C:\WINDOWS\system32\SrchSTS.exe <Not Verified; S!Ri; SrchSTS> 2008-03-24 13:32:33 53248 --a------ C:\WINDOWS\system32\Process.exe <Not Verified; http://www.beyondlogic.org; Command Line Process Utility> 2008-03-24 13:32:33 82432 --a------ C:\WINDOWS\system32\IEDFix.exe <Not Verified; S!Ri.URZ; IEDFix> 2008-03-24 13:32:33 51200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-03-22 13:12:48 0 dr-h----- C:\Dokumente und Einstellungen\Marcel\Recent 2008-03-22 13:10:58 0 d-------- C:\Programme\CCleaner 2008-03-21 18:25:07 0 d-------- C:\Programme\antivirus-kaspa 2008-03-21 16:37:08 0 d-------- C:\Programme\Trend Micro 2008-03-19 11:52:35 68096 --a------ C:\WINDOWS\system32\zip.exe 2008-03-19 11:52:35 98816 --a------ C:\WINDOWS\system32\sed.exe 2008-03-19 11:52:35 80412 --a------ C:\WINDOWS\system32\grep.exe 2008-03-19 11:52:35 73728 --a------ C:\WINDOWS\system32\fdsv.exe <Not Verified; Smallfrogs Studio; > 2008-03-19 11:31:30 0 d-a------ C:\WINDOWS\zts2.exe 2008-03-19 11:31:30 0 d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2008-03-19 11:31:30 0 d-a------ C:\WINDOWS\system32\iifgfgf.dll 2008-03-19 11:31:30 0 d-a------ C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt 2008-03-19 11:31:30 0 d-a------ C:\WINDOWS\rundll16.exe 2008-03-19 11:31:30 0 d-a------ C:\WINDOWS\rundl132.dll 2008-03-19 11:31:30 0 d-a------ C:\WINDOWS\logo1_.exe 2008-03-19 10:32:49 0 d-------- C:\WINDOWS\ERUNT 2008-03-18 23:00:12 0 d-------- C:\Programme\Avira -- Find3M Report --------------------------------------------------------------- 2008-03-25 20:24:28 0 d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Malwarebytes 2008-03-14 12:18:42 0 d-------- C:\Programme\iTunes 2008-03-14 12:18:30 0 d-------- C:\Programme\iPod 2008-03-02 17:18:17 0 d-------- C:\Programme\QuickTime 2008-02-07 16:19:38 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIModeChange"="Ati2mdxx.exe" [24.02.2004 18:08 C:\WINDOWS\system32\Ati2mdxx.exe] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [03.02.2004 20:10] "AGRSMMSG"="AGRSMMSG.exe" [10.06.2003 03:37 C:\WINDOWS\AGRSMMSG.exe] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [17.06.2003 02:40] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [17.06.2003 02:40] "Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [08.09.2003 15:02] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 22:16] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [31.01.2008 23:13] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [19.02.2008 13:10] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [18.03.2008 23:01] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [31.12.2002 13:00] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [04.08.2004 00:11] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [06.04.2003 00:17:18] hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [06.04.2003 00:06:58] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 00:01:04] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] AutoRun\command- D:\start.bat -- End of Deckard's System Scanner: finished at 2008-03-27 17:50:29 ------------ vielen vielen dank für die ganze mühe mit mir !! |
27.03.2008, 18:10 | #23 |
Administrator > Competence Manager | antiviruspro infektion und blauer bildschirmIch hoffe es für dich, bislang habe ich nur einen Eintrag zu einem Trojaner finden können, welcher wiederum nicht mehr aktiv ist. (bzw. sein sollte!) Das ist das letzte Programm für dich, danach ist hoffentlich alles gefunden und gelöscht: Anleitung durchlesen und abarbeiten -> UnHackMe - Rootkits finden
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
27.03.2008, 18:14 | #24 | |
Administrator > Competence Manager | antiviruspro infektion und blauer bildschirmUnd noch was... Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
27.03.2008, 18:55 | #25 |
| antiviruspro infektion und blauer bildschirm hi sunny hab unhack me durchgeführt und datei überprüfen lassen: Code:
ATTFilter Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.3.26.0 2008.03.27 - AntiVir 7.6.0.75 2008.03.27 - Authentium 4.93.8 2008.03.27 - Avast 4.7.1098.0 2008.03.27 - AVG 7.5.0.516 2008.03.27 - BitDefender 7.2 2008.03.27 - CAT-QuickHeal 9.50 2008.03.26 - ClamAV 0.92.1 2008.03.27 - DrWeb 4.44.0.09170 2008.03.27 - eSafe 7.0.15.0 2008.03.18 - eTrust-Vet 31.3.5648 2008.03.27 - Ewido 4.0 2008.03.27 - F-Prot 4.4.2.54 2008.03.27 - F-Secure 6.70.13260.0 2008.03.27 - FileAdvisor 1 2008.03.27 - Fortinet 3.14.0.0 2008.03.27 - Ikarus T3.1.1.20 2008.03.27 - Kaspersky 7.0.0.125 2008.03.27 - McAfee 5261 2008.03.27 - Microsoft 1.3301 2008.03.27 - NOD32v2 2978 2008.03.27 - Norman 5.80.02 2008.03.26 - Panda 9.0.0.4 2008.03.26 - Prevx1 V2 2008.03.27 - Rising 20.37.32.00 2008.03.27 - Sophos 4.27.0 2008.03.27 - Sunbelt 3.0.978.0 2008.03.18 - Symantec 10 2008.03.27 - TheHacker 6.2.92.256 2008.03.27 - VBA32 3.12.6.3 2008.03.25 - VirusBuster 4.3.26:9 2008.03.27 - Webwasher-Gateway 6.6.2 2008.03.27 - weitere Informationen File size: 16 bytes MD5: 9d164df185f9af0114e201bdf100d641 SHA1: aa5aeeebfaca73f9abe08f624604ca4b952cff04 PEiD: - |
27.03.2008, 19:05 | #26 |
Administrator > Competence Manager | antiviruspro infektion und blauer bildschirm Hat das Programm denn irgendwas gefunden? Irgendwelche "hidden files"?
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
27.03.2008, 19:10 | #27 |
| antiviruspro infektion und blauer bildschirm ach so sorry ...also unhack me kam zu dem ergebnis: nix gefunden.no trojan found. wars das nun? lg |
27.03.2008, 19:14 | #28 | ||
Administrator > Competence Manager | antiviruspro infektion und blauer bildschirmZitat:
OTMoveIt by OldTimer Folgendes Tool herunterladen -> OTMoveIt2.exe --> Starte nun die OTMoveIt.exe --> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren: Zitat:
--> Danach den Roten MoveIt!-Button klicken --> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
27.03.2008, 19:23 | #29 |
| antiviruspro infektion und blauer bildschirm hm der virus ist ja echt hartnäckig ! hier der bericht : C:\WINDOWS\system32\nehsbqdofqt.bmp moved successfully. C:\WINDOWS\system32\qporqd.bmp moved successfully. C:\WINDOWS\system32\sralkf.bmp moved successfully. C:\WINDOWS\system32\gnatonid.bmp moved successfully. C:\WINDOWS\system32\ehkrmhkbil.bmp moved successfully. C:\WINDOWS\system32\tmp.reg moved successfully. C:\WINDOWS\system32\ehgfidcf.bmp moved successfully. C:\WINDOWS\system32\hkrmdsnqlcb.bmp moved successfully. OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03272008_192231 ___________________________________ nu alles weg ? |
27.03.2008, 19:38 | #30 |
Administrator > Competence Manager | antiviruspro infektion und blauer bildschirm
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
Themen zu antiviruspro infektion und blauer bildschirm |
abgesicherten modus, adobe, avira, bho, bildschirm, detected, escan, excel, explorer, helfen, hijack, hijackthis, hkus\s-1-5-18, hotkey, immer wieder, internet, internet explorer, logfile, microsoft, neustart, pdf, problem, software, spyware, surfen, system, warning, windows, windows xp |