| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: NewDotNet und DR/OneStep.E.1 und weiteresWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.05.2008, 22:04
| #1 |
| |  NewDotNet und DR/OneStep.E.1 und weiteres Hi, 1) NewDotNet Ich bin ziemlich unerfahren mit Computerproblemen und auf meinem Windows XP zeigt Avira AntiVir den Trojaner NewDotNet an, den ich nicht löschen kann. Ich habe bei Google nachgeschaut und Newdotnet deinstalliert, allerdings nach dem Booten kommt immer noch die gleiche Meldung mit NewDotNet Dateien. Nun habe ich nicht mehr die Option der Deinstallation, da ich es unter Systemsteuerung nicht mehr sehe. 2) Luke Filewalker hat nun auch DR/OneStep.E.1 entdeckt. Ich weiss nicht wie ich meinen Computer desinfiziere. Für jede Hilfe bin ich dankbar. Erstmal folgendes Logfile, welches wohl nicht ausreichend ist ?! ============================ Avira AntiVir Personal Report file date: Freitag, 2. Mai 2008 21:50 Scanning for 1246006 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Boot mode: Normally booted Username: Mihael Computer name: MDCOMPUTER Version information: BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:24:00 AVSCAN.EXE : 8.1.2.12 311553 Bytes 19.04.2008 15:32:47 AVSCAN.DLL : 8.1.1.0 53505 Bytes 19.04.2008 15:32:47 LUKE.DLL : 8.1.2.9 151809 Bytes 19.04.2008 15:32:47 LUKERES.DLL : 8.1.2.1 12033 Bytes 19.04.2008 15:32:47 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 21:25:11 ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 18:12:43 ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22.04.2008 20:16:21 ANTIVIR3.VDF : 7.0.3.236 249344 Bytes 01.05.2008 20:16:48 Engineversion : 8.1.0.37 AEVDF.DLL : 8.1.0.5 102772 Bytes 19.04.2008 15:32:48 AESCRIPT.DLL : 8.1.0.28 233851 Bytes 30.04.2008 20:14:18 AESCN.DLL : 8.1.0.15 119157 Bytes 30.04.2008 20:14:17 AERDL.DLL : 8.1.0.20 418165 Bytes 25.04.2008 20:14:30 AEPACK.DLL : 8.1.1.4 364918 Bytes 29.04.2008 20:14:07 AEOFFICE.DLL : 8.1.0.18 192890 Bytes 19.04.2008 15:32:48 AEHEUR.DLL : 8.1.0.21 1196407 Bytes 30.04.2008 20:14:16 AEHELP.DLL : 8.1.0.14 115063 Bytes 19.04.2008 15:32:47 AEGEN.DLL : 8.1.0.18 299381 Bytes 25.04.2008 20:14:23 AEEMU.DLL : 8.1.0.5 430450 Bytes 19.04.2008 15:32:47 AECORE.DLL : 8.1.0.27 168310 Bytes 19.04.2008 15:32:47 AVWINLL.DLL : 1.0.0.7 14593 Bytes 19.04.2008 15:32:47 AVPREF.DLL : 8.0.0.1 25857 Bytes 19.04.2008 15:32:47 AVREP.DLL : 7.0.0.1 155688 Bytes 20.04.2007 21:31:06 AVREG.DLL : 8.0.0.0 30977 Bytes 19.04.2008 15:32:47 AVARKT.DLL : 1.0.0.23 307457 Bytes 19.04.2008 15:32:47 AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 19.04.2008 15:32:47 SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.04.2008 15:32:47 SMTPLIB.DLL : 1.2.0.19 28929 Bytes 19.04.2008 15:32:47 NETNT.DLL : 8.0.0.1 7937 Bytes 19.04.2008 15:32:47 RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 19.04.2008 15:32:43 RCTEXT.DLL : 8.0.32.0 86273 Bytes 19.04.2008 15:32:43 Configuration settings for the scan: Jobname..........................: Local Hard Disks Configuration file...............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, D:, Scan memory......................: on Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: Freitag, 2. Mai 2008 21:50 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'msiexec.exe' - '1' Module(s) have been scanned Scan process 'spywareblaster.exe' - '1' Module(s) have been scanned Scan process 'spywareblaster.exe' - '1' Module(s) have been scanned Scan process 'firefox.exe' - '1' Module(s) have been scanned Scan process 'unsecapp.exe' - '1' Module(s) have been scanned Scan process 'WZQKPICK.EXE' - '1' Module(s) have been scanned Scan process 'NkbMonitor.exe' - '1' Module(s) have been scanned Scan process 'msmsgs.exe' - '1' Module(s) have been scanned Scan process 'googletalk.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'Corel Photo Downloader.exe' - '1' Module(s) have been scanned Scan process 'qttask.exe' - '1' Module(s) have been scanned Scan process 'realsched.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'fpassist.exe' - '1' Module(s) have been scanned Scan process 'brctrcen.exe' - '1' Module(s) have been scanned Scan process 'pptd40nt.exe' - '1' Module(s) have been scanned Scan process 'Realmon.exe' - '1' Module(s) have been scanned Scan process 'PCMService.exe' - '1' Module(s) have been scanned Scan process 'CNYHKey.exe' - '1' Module(s) have been scanned Scan process 'mHotkey.exe' - '1' Module(s) have been scanned Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'nvraidservice.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'WkDStore.exe' - '1' Module(s) have been scanned Scan process 'WINWORD.EXE' - '1' Module(s) have been scanned Scan process 'unsecapp.exe' - '1' Module(s) have been scanned Scan process 'WZQKPICK.EXE' - '1' Module(s) have been scanned Scan process 'NkbMonitor.exe' - '1' Module(s) have been scanned Scan process 'msmsgs.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned Scan process 'Corel Photo Downloader.exe' - '1' Module(s) have been scanned Scan process 'qttask.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'fpassist.exe' - '1' Module(s) have been scanned Scan process 'brctrcen.exe' - '1' Module(s) have been scanned Scan process 'pptd40nt.exe' - '1' Module(s) have been scanned Scan process 'Realmon.exe' - '1' Module(s) have been scanned Scan process 'PCMService.exe' - '1' Module(s) have been scanned Scan process 'CNYHKey.exe' - '1' Module(s) have been scanned Scan process 'mHotkey.exe' - '1' Module(s) have been scanned Scan process 'carpserv.exe' - '1' Module(s) have been scanned Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'nvraidservice.exe' - '1' Module(s) have been scanned Scan process 'guardgui.exe' - '1' Module(s) have been scanned Scan process 'nnrun.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'wmpnetwk.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'PSIService.exe' - '1' Module(s) have been scanned Scan process 'TNSLSNR.EXE' - '1' Module(s) have been scanned Scan process 'oracle.exe' - '1' Module(s) have been scanned Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned Scan process 'nnrun.exe' - '1' Module(s) have been scanned Scan process 'MDM.EXE' - '1' Module(s) have been scanned Scan process 'InoRT.exe' - '1' Module(s) have been scanned Scan process 'InoRpc.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'CLMLService.exe' - '1' Module(s) have been scanned Scan process 'CLMLServer.exe' - '1' Module(s) have been scanned Scan process 'CLSched.exe' - '1' Module(s) have been scanned Scan process 'CLCapSvc.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'scardsvr.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 83 processes with 83 modules were scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Master boot sector HD1 [INFO] No virus was found! [WARNING] Das Gerät ist nicht bereit. Master boot sector HD2 [INFO] No virus was found! [WARNING] Das Gerät ist nicht bereit. Master boot sector HD3 [INFO] No virus was found! [WARNING] Das Gerät ist nicht bereit. Master boot sector HD4 [INFO] No virus was found! [WARNING] Das Gerät ist nicht bereit. Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'D:\' [INFO] No virus was found! Starting to scan the registry. The registry was scanned ( '48' files ). Starting the file scan: Begin scan in 'C:\' C:\hiberfil.sys [WARNING] The file could not be opened! C:\pagefile.sys [WARNING] The file could not be opened! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\41EJSPQ3\upgrade[1].cab [0] Archive type: CAB (Microsoft) --> upgrade.exe [DETECTION] Contains detection pattern of the dropper DR/OneStep.C.137 [NOTE] The file was moved to '48827259.qua'! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SLQVGD23\upgrade[2].cab [0] Archive type: CAB (Microsoft) --> upgrade.exe [DETECTION] Contains detection pattern of the dropper DR/OneStep.E.1 [NOTE] The file was moved to '4882725d.qua'! End of the scan: Freitag, 2. Mai 2008 22:12 Used time: 21:57 min The scan has been canceled! 4846 Scanning directories 245001 Files were scanned 2 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 2 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 244999 Files not concerned 1166 Archives were scanned 6 Warnings 2 Notes |
|
02.05.2008, 22:07
| #2 |
| Administrator > Competence Manager  | NewDotNet und DR/OneStep.E.1 und weiteresHallo dynamike und  Malwarebytes' Anti-Malware
Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Online-Viren-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________ |
|
04.05.2008, 07:19
| #3 |
| |  NewDotNet und DR/OneStep.E.1 und weiteres Hallo,
__________________Ich die Anweisungen befolgt: a) Download von Malwarebytes' Anti-Malware mit nachträglicher Entfernung aller infizierter Dateien. Das Logfile ist: Malwarebytes' Anti-Malware 1.11 Datenbank Version: 711 Scan Art: Komplett Scan (C:\|D:\|) Objekte gescannt: 246186 Scan Dauer: 2 hour(s), 15 minute(s), 9 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 9 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{7930c862-4d6a-101b-8650-00aa003a4d8e} (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{8996b0a1-d7be-101b-8650-00aa003a5593} (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{a9cf1100-4f9c-101b-8650-00aa003a4d8e} (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{a9cf1102-4f9c-101b-8650-00aa003a4d8e} (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{a9cf1104-4f9c-101b-8650-00aa003a4d8e} (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{a9cf1106-4f9c-101b-8650-00aa003a4d8e} (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{a9cf1108-4f9c-101b-8650-00aa003a4d8e} (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{a9cf110a-4f9c-101b-8650-00aa003a4d8e} (Trojan.Agent) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{ac583f40-4f20-101b-8650-00aa003a4d8e} (Trojan.Agent) -> No action taken. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\silc_dll.dll (Spyware.Marketscore) -> No action taken. C:\WINDOWS\system32\cfx32.ocx (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\cfx32.lic (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\model.dat (Spyware.MarketScore) -> No action taken. C:\WINDOWS\system32\LDPackage.dll (Spyware.MarketScore) -> No action taken. b) Nach dem Neuboot kam leider unverändert die Meldung von AntiVir Guard: C:\Programme\NewDotNet\nn.core.dll Is the Trojan horse TR/Agent.AHYP Egal welche Option ich wähle (Delete oder move to quarantine) , diese Meldung kommt nach Neustart. Danach habe ich wir vorgeschlagen, den Kaspersky - Onlinescanner durchgeführt. Er hat keine infizierte Datei gefunden. Allerdings kamen während des Scans einige Male AntiVir Guard Meldungen "A virus or unwanted program was found!".. Bei diesen Meldungen habe ich immer auf ignore geklickt. Das Ergebnis ist: ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Sonntag, 4. Mai 2008 07:58:29 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.1 Letztes Update der Antiviren-Datenbanken: 3/05/2008 Anzahl der Einträge in den Antiviren-Datenbanken: 659651 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 202118 Viren gefunden: 0 Infizierte Objekte gefunden: 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 08:53:46 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Anwendungsdaten\Mozilla\Firefox\Profiles\syp4s6jg.default\cert8.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Anwendungsdaten\Mozilla\Firefox\Profiles\syp4s6jg.default\history.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Anwendungsdaten\Mozilla\Firefox\Profiles\syp4s6jg.default\key3.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Anwendungsdaten\Mozilla\Firefox\Profiles\syp4s6jg.default\parent.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Anwendungsdaten\Mozilla\Firefox\Profiles\syp4s6jg.default\search.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Anwendungsdaten\Mozilla\Firefox\Profiles\syp4s6jg.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\syp4s6jg.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\syp4s6jg.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\syp4s6jg.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\syp4s6jg.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Lokale Einstellungen\Temp\Perflib_Perfdata_f58.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Lokale Einstellungen\Temp\~DF1205.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Mihael\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\oraclexe\app\oracle\flash_recovery_area\XE\ONLINELOG\O1_MF_1_2L1H0MWS_.LOG Das Objekt ist gesperrt übersprungen C:\oraclexe\app\oracle\flash_recovery_area\XE\ONLINELOG\O1_MF_2_2L1H0NVT_.LOG Das Objekt ist gesperrt übersprungen C:\oraclexe\app\oracle\product\10.2.0\server\database\hc_xe.dat Das Objekt ist gesperrt übersprungen C:\oraclexe\app\oracle\product\10.2.0\server\NETWORK\log\listener.log Das Objekt ist gesperrt übersprungen C:\oraclexe\oradata\XE\CONTROL.DBF Das Objekt ist gesperrt übersprungen C:\oraclexe\oradata\XE\SYSAUX.DBF Das Objekt ist gesperrt übersprungen C:\oraclexe\oradata\XE\SYSTEM.DBF Das Objekt ist gesperrt übersprungen C:\oraclexe\oradata\XE\TEMP.DBF Das Objekt ist gesperrt übersprungen C:\oraclexe\oradata\XE\UNDO.DBF Das Objekt ist gesperrt übersprungen C:\oraclexe\oradata\XE\USERS.DBF Das Objekt ist gesperrt übersprungen C:\Programme\CA\Etrust Antivirus\DB\rtmaster.dbf Das Objekt ist gesperrt übersprungen C:\Programme\CA\Etrust Antivirus\DB\rtmaster.ntx Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_AGENT_LOG1.txt Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_AUDIO\CLML.db Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_AUDIO\CLML.db-journal Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_BINARY\CLML.db Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_BLOB\CLML.db Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_BLOB\CLML.db-journal Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_GLOBAL\CLML.db Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_GLOBAL\CLML.db-journal Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_IMAGE\CLML.db Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_IMAGE\CLML.db-journal Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_MAIN\CLML.db Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_MAIN\CLML.db-journal Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_TV\CLML.db Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_TV\CLML.db-journal Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_VIDEO\CLML.db Das Objekt ist gesperrt übersprungen C:\Programme\CyberLink\Shared Files\CLML_NTService\CLML_VIDEO\CLML.db-journal Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{9D2C4704-C72D-4711-8113-AAB3267A9307}\RP595\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. Nun habe ich was die Meldungen betrifft den gleichen Zustand wie bisher: (Nach dem Neuboot kam leider unverändert die Meldung von AntiVir Guard: C:\Programme\NewDotNet\nn.core.dll Is the Trojan horse TR/Agent.AHYP Egal welche Option ich wähle (Delete oder move to quarantine) , diese Meldung kommt nach Neustart.) Wegen dem einmaligen deinstallieren von NewDotNet unter Systemsteuerung->Software habe ich diese Option nicht mehr. Nichtsdestotrotz gibt es nach dem Booten immer das Verzeichnis C:/Programme/NewDotNet und enthält nncore.dll und nnrun.exe Was kann ich jetzt machen ? |
|
04.05.2008, 09:35
| #4 |
| Administrator > Competence Manager | NewDotNet und DR/OneStep.E.1 und weiteresScheinbar sind immer noch Reste von NewDotNet, führe nun folgende Anleitung durch: http://www.trojaner-board.de/40645-anleitung-entfernung-von-new-net-spyware.html anschliessend bitte das hier: ComboFix
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
04.05.2008, 22:16
| #5 |
| | NewDotNet und DR/OneStep.E.1 und weiteres Hallo, Ich habe alle Anweisungen befolgt. Zuerst den link: http://www.trojaner-board.de/40645-anleitung-entfernung-von-new-net-spyware.html Ein Anmerkung. Ich mußte unter 4) NNuninstall.exe laden. Ich habe es danach auch ausgeführt. Dies sollte man so im Text auch schreiben. (oder ich habe es falsch verstanden, sehe aber dann nicht, warum man es laden soll). Zu Combofix: ich habe versucht nichts zu machen. Leider ging irgendwann mein Screensaver an und nach 30 minuten habe ich mal nachgesehen, wo der Computer steht. Dabei wurden evtl. wieder gewisse VirusScanner aktiviert. Status quo: Ich habe nach dem Beenden und aktivieren von AntiVir noch ein Infizierte Datei Meldung (leider nicht gespeichert) bekommen, allerdings nicht die Newdotnet Meldung. Nach Booten des Computers kam jetzt keine Meldung. Anbei die beiden Logs von HijackThis und ComboFix. Ist nun noch etwas zu tun ? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:55:00, on 04.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\NewDotNet\nnrun.exe C:\WINDOWS\system32\nvsvc32.exe c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\carpserv.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\Programme\CyberLink\PowerCinema\PCMService.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\Google Talk\googletalk.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Mihael\Temp\VirusInfo\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.targa.de O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: ComBOTS.lnk = C:\Dokumente und Einstellungen\Mihael\Eigene Dateien\ComBOTS\mihael.ankerst@gmail.com\combots\lib\combots.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106658605437 O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: NNServ - New.net, Inc. - C:\Programme\NewDotNet\nnrun.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe O23 - Service: OracleOraHome92TNSListener - Unknown owner - C:\oracle\ora92\BIN\TNSLSNR.exe O23 - Service: OracleServiceDJDATA - Oracle Corporation - c:\oracle\ora92\bin\ORACLE.EXE O23 - Service: OracleServiceMYDB - Oracle Corporation - c:\oracle\ora92\bin\ORACLE.EXE O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe -- End of file - 9675 bytes ComboFix 08-05-01.3 - Mihael 2008-05-04 15:02:22.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.539 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Mihael\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\newdotnet C:\Programme\newdotnet\nncore.dll C:\Programme\newdotnet\nnrun.exe C:\WINDOWS\NDNuninstall6_38.exe C:\WINDOWS\NDNuninstall6_90.exe C:\WINDOWS\NDNuninstall6_98.exe C:\WINDOWS\NDNuninstall7_14.exe C:\WINDOWS\NDNuninstall7_22.exe C:\WINDOWS\NDNuninstall7_48.exe C:\WINDOWS\system32\rlls.dll D:\Autorun.inf . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NNSERV -------\Service_NNServ ((((((((((((((((((((((( Dateien erstellt von 2008-04-04 bis 2008-05-04 )))))))))))))))))))))))))))))) . 2008-05-03 18:58 . 2008-05-03 18:59 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-05-03 18:58 . 2008-05-03 18:58 <DIR> d-------- C:\Dokumente und Einstellungen\Mihael\Anwendungsdaten\Malwarebytes 2008-05-03 18:58 . 2008-05-03 18:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-05-02 21:35 . 2008-05-02 23:08 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-04-24 22:58 . 2008-04-24 22:58 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-04 12:38 --------- d-----w C:\Dokumente und Einstellungen\Mihael\Anwendungsdaten\ChessBase 2008-05-04 07:39 25,180 ----a-w C:\Dokumente und Einstellungen\Mihael\Anwendungsdaten\wklnhst.dat 2008-05-02 19:35 --------- d-----w C:\Programme\SpywareBlaster 2008-05-02 18:36 27,502 ----a-w C:\Dokumente und Einstellungen\Donna\Anwendungsdaten\wklnhst.dat 2007-09-22 23:12 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLds.DAT 2007-09-22 23:11 20 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT 2007-07-28 16:19 126 ----a-w C:\Dokumente und Einstellungen\Antonia\Anwendungsdaten\wklnhst.dat 2007-03-12 20:57 92,064 ----a-w C:\Dokumente und Einstellungen\Mihael\mqdmmdm.sys 2007-03-12 20:57 9,232 ----a-w C:\Dokumente und Einstellungen\Mihael\mqdmmdfl.sys 2007-03-12 20:57 79,328 ----a-w C:\Dokumente und Einstellungen\Mihael\mqdmserd.sys 2007-03-12 20:57 66,656 ----a-w C:\Dokumente und Einstellungen\Mihael\mqdmbus.sys 2007-03-12 20:57 6,208 ----a-w C:\Dokumente und Einstellungen\Mihael\mqdmcmnt.sys 2007-03-12 20:57 5,936 ----a-w C:\Dokumente und Einstellungen\Mihael\mqdmwhnt.sys 2007-03-12 20:57 4,048 ----a-w C:\Dokumente und Einstellungen\Mihael\mqdmcr.sys 2007-03-12 20:57 25,600 ----a-w C:\Dokumente und Einstellungen\Mihael\usbsermptxp.sys 2007-03-12 20:57 22,768 ----a-w C:\Dokumente und Einstellungen\Mihael\usbsermpt.sys 2003-01-13 09:59 278,528 ----a-w C:\Programme\internet explorer\plugins\PanoViewer.dll 1999-04-30 15:00 98,304 ----a-w C:\Programme\internet explorer\plugins\UPjpeg.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "googletalk"="C:\Programme\Google\Google Talk\googletalk.exe" [2007-01-01 23:22 3739648] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [2004-12-07 17:16 84480] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-15 13:01 5513216] "nwiz"="nwiz.exe" [2004-12-15 13:01 1490944 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-12-15 13:01 86016] "SoundMan"="SOUNDMAN.EXE" [2004-11-15 19:20 77824 C:\WINDOWS\SOUNDMAN.EXE] "CARPService"="carpserv.exe" [2003-03-19 01:13 4608 C:\WINDOWS\system32\carpserv.exe] "CHotkey"="mHotkey.exe" [2003-07-29 18:56 526848 C:\WINDOWS\mHotkey.exe] "ledpointer"="CNYHKey.exe" [2004-03-03 10:24 5576704 C:\WINDOWS\CNYHKey.exe] "PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-10 17:26 406016] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "PCMService"="C:\Programme\CyberLink\PowerCinema\PCMService.exe" [2005-01-19 02:33 110744] "AntivirusRegistration"="C:\Programme\CA\Etrust Antivirus\Register.exe" [2005-01-06 01:13 458752] "Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2004-06-26 01:17 504080] "OEM-Reset"="" [] "SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648] "PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-04-14 14:46 57393] "IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-04-14 15:04 40960] "SetDefPrt"="C:\Programme\Brother\Brmfl04g\BrStDvPt.exe" [2004-11-11 17:14 49152] "ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2004-11-11 22:00 864256] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 310272] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 17:32 262401] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-08 00:35 185896] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-07-01 13:53 282624] "Corel Photo Downloader"="C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" [2007-08-28 12:00 531272] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] "Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 03:17 443968] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.MJPG"= Pvmjpg21.dll "VIDC.PIM1"= pclepim1.dll "VIDC.I420"= vdrcodec.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-05-20 11:52 77824 C:\Program Files\Java\jre1.6.0\bin\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\CyberLink\\PowerCinema\\PowerCinema.exe"= "C:\\Programme\\CA\\Etrust Antivirus\\Realmon.exe"= "C:\\Programme\\JBuilder2005\\bin\\jdsserver.exe"= "C:\\Programme\\Google\\Google Talk\\googletalk.exe"= "C:\\Programme\\JBuilder2005\\bin\\JBuilderw.exe"= "c:\\windows\\system32\\mrkscr.exe"= "C:\\Dokumente und Einstellungen\\Mihael\\Eigene Dateien\\ComBOTS\\mihael.ankerst@gmail.com\\combotsClient\\ComBOTSCom.exe"= "C:\\WINDOWS\\system32\\mmc.exe"= "C:\\Dokumente und Einstellungen\\Mihael\\Eigene Dateien\\ComBOTS\\mihael.ankerst@gmail.com\\combotsClient\\ComBOTSClient.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= "C:\\WINDOWS\\system32\\ftp.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8080:TCP"= 8080:TCP:*  isabled:8080"1521:TCP"= 1521:TCP:* isabled:1521R2 OracleServiceXE;OracleServiceXE;c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE XE [] R2 OracleXETNSListener;OracleXETNSListener;C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe [2006-02-02 00:49] R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 16:10] R3 IMT0521;Inmax USB IMT-0521 Smartcard Reader;C:\WINDOWS\system32\Drivers\IMT0521.sys [2003-07-11 10:50] S2 OracleServiceDJDATA;OracleServiceDJDATA;c:\oracle\ora92\bin\ORACLE.EXE DJDATA [] S2 OracleServiceMYDB;OracleServiceMYDB;c:\oracle\ora92\bin\ORACLE.EXE MYDB [] S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50] S3 SCR33X USB Smart Card Reader;SCR33X USB Smart Card Reader;C:\WINDOWS\system32\DRIVERS\SCR33X2K.sys [2003-12-03 05:22] S4 OracleJobSchedulerXE;OracleJobSchedulerXE;c:\oraclexe\app\oracle\product\10.2.0\server\Bin\extjob.exe XE [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{411715b8-cc5e-11da-bafb-000fea7d8c99}] \Shell\AutoRun\command - K:\LaunchU3.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8e2676f2-6c09-11d9-b1cf-806d6172696f}] \Shell\AutoRun\command - E:\Autorun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c34cd8ee-6c6d-11d9-9827-806d6172696f}] \Shell\AutoRun\command - E:\Setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d06a8141-6dfb-11d9-8068-806d6172696f}] \Shell\AutoRun\command - D:\Autorun.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-04 15:20:52 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome92TNSListener] "ImagePath"="C:\oracle\ora92\BIN\TNSLSNR " . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\scardsvr.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\Programme\CA\Etrust Antivirus\InoRpc.exe C:\Programme\CA\Etrust Antivirus\InoRT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\oraclexe\app\oracle\product\10.2.0\server\BIN\oracle.exe C:\WINDOWS\system32\PSIService.exe C:\Programme\Windows Media Player\wmpnetwk.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\WinZip\WZQKPICK.EXE . ************************************************************************** . Zeit der Fertigstellung: 2008-05-04 15:25:16 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-04 13:25:13 14 Verzeichnis(se), 245,898,686,464 Bytes frei 17 Verzeichnis(se), 246,856,224,768 Bytes frei 171 --- E O F --- 2008-04-09 05:57:55 Ist noch etwas zu tun ? |
|
05.05.2008, 17:56
| #6 |
| Administrator > Competence Manager | NewDotNet und DR/OneStep.E.1 und weiteres Erstell bitte nochmal ein neues Hijacklog, das Logfile aus dem vorherigen Post ist nicht aktuell. Gibt es denn noch Probleme mit Fehlermeldungen?
__________________ --> NewDotNet und DR/OneStep.E.1 und weiteres |
|
05.05.2008, 22:43
| #7 |
| | NewDotNet und DR/OneStep.E.1 und weiteres Hier das Logfile von HijackThis. Bisher (3 mal Computer eingeschaltet) habe ich keine Virusmeldung von AntiVir mehr bekommen. Vielleicht ist ja wieder alles im Lot ?!?! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:40:58, on 05.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\nvraidservice.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\carpserv.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\Programme\CyberLink\PowerCinema\PCMService.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\Google Talk\googletalk.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe C:\Dokumente und Einstellungen\Mihael\Temp\VirusInfo\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Programme\Gemeinsame Dateien\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: ComBOTS.lnk = C:\Dokumente und Einstellungen\Mihael\Eigene Dateien\ComBOTS\mihael.ankerst@gmail.com\combots\lib\combots.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll O14 - IERESET.INF: START_PAGE_URL=http://www.targa.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106658605437 O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe O23 - Service: OracleOraHome92TNSListener - Unknown owner - C:\oracle\ora92\BIN\TNSLSNR.exe O23 - Service: OracleServiceDJDATA - Oracle Corporation - c:\oracle\ora92\bin\ORACLE.EXE O23 - Service: OracleServiceMYDB - Oracle Corporation - c:\oracle\ora92\bin\ORACLE.EXE O23 - Service: OracleServiceXE - Oracle Corporation - c:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE O23 - Service: OracleXEClrAgent - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe O23 - Service: OracleXETNSListener - Unknown owner - C:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe -- End of file - 9882 bytes |
|
| Themen zu NewDotNet und DR/OneStep.E.1 und weiteres |
| .dll, 0 bytes, antivir, avg, avgnt.exe, avira, booten, content.ie5, ctfmon.exe, einstellungen, firefox.exe, google, internet, logfile, logon.exe, lsass.exe, löschen, mdm.exe, microsoft, moved, msiexec.exe, nt.dll, programme, quara, rundll, services.exe, svchost.exe, trojaner, virus, windows, windows xp, winlogon.exe, wmp |
Linear-Darstellung
