| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Benötige Hilfe bei der Fehlersuche.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.05.2008, 08:25
| #1 |
| Gesperrt |  Benötige Hilfe bei der Fehlersuche. Schönen guten Morgen zusammen.Ich benötige eure Hilfe.Ich arbeite mit folgendem System: -Intel celeron 3.07Ghz -1GB Ram -Windows XP Professional -SP2 als Schutzkomponenten habe ich Kaspersky Personal Security Suite V mit zugehöriger Firewall und eine Ashampoo Firewall am laufen. Vor 4 Tagen allerdings scheint sich ein Trojaner daran vorbeigeschlichen zu haben(hat ohne meine Bestätigung ein angebliches "Security Center" auf meinem Rechner installiert bzw. war gerade dabei).Dies habe ich allerdings auf Nachfrage abgebrochen, worauf dann erst meine Firewalls sich gemeldet haben.Desinfizieren liesen sich diese Trojaner nicht, also habe ich sie gelöscht bzw. sind bei Kaspersky per backup ja wieder herstellbar.Hier mal das Log von Kaspersky: Infiziert: trojanisches Programm Trojan-Downloader.Win32.Mutant.xc c:\windows\system32\wlctrl32.dll 12 KB Infiziert: trojanisches Programm Trojan.Win32.Vapsup.ffv C:\WINDOWS\vbksrofa.dll 208 KB Infiziert: trojanisches Programm Trojan.Win32.Vapsup.ffw C:\WINDOWS\pvnsmfor.dll 152 KB Infiziert: trojanisches Programm Trojan-Downloader.Win32.Mutant.yl c:\dokumente und einstellungen\ray\lokale einstellungen\temp\stdcons.exe 11.5 KB Infiziert: trojanisches Programm Trojan.Win32.Vapsup.ffw C:\WINDOWS\mpfanvqg.dll 192 KB Infiziert: trojanisches Programm Trojan.Win32.Vapsup.ffw C:\WINDOWS\exqb.exe 92 KB Infiziert: trojanisches Programm Trojan-Downloader.Win32.Agent.lxa c:\windows\system32\drivers\lpt83.sys 26.4 KB Infiziert: trojanisches Programm Trojan.Win32.Vapsup.ffv C:\WINDOWS\fvowketqonp.dll 212 KB Infiziert: trojanisches Programm Trojan.Win32.Vapsup.ffv C:\WINDOWS\oadkxrts.exe 80 KB Kann seit dem keine Systemwiederherstellung durchführen, da keine Punkte mehr vorhanden sind und die automatischen Updates lassen sich auch nicht mehr aktivieren.Selbst mit der Anleitung von Microsoft nicht(Start,ausführen,services.msc, usw....)lässt sich einfach nicht aktivieren, immer Fehlercode 1058  ienst kann nicht aktiviert werden.Würde ganz gerne versuchen, um eine komplette Neuinstallation von XP herum zu kommen.Über Hilfe in irgend einer Art würde ich mich sehr freuen. Mit freundlichem Gruss Raimund |
|
23.05.2008, 08:48
| #2 |
  |  Benötige Hilfe bei der Fehlersuche. Hi,
__________________bitte folgendes ausprobieren; Windowsupdate Folge der Anleitung (s. Link): WinNT-Fehler: Fehler 1058: Der angegebene Dienst ist deaktiviert oder: Dial-a-fix (Runterladen, alles Anhaken, danach "Go" auswählen und nach Durchführung der Änderungen den Rechner neu starten.) Systemwiederherstellung: Start->ausführen->regedit; Navigiere zum Schlüssel: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ SystemRestore; Prüfe den Schlüssel: DisableSR Dieser Wert bewirkt, dass die Systemwiederherstellung von Windows deaktiviert bzw. aktiviert wird. Wert 1 = Systemwiederherstellung deaktiviert Wert 0 = Systemwiederherstellung aktiviert Navigiere zum Schlüssel: HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore DisableConfig Dieser Wert bewirkt, ob Veränderungen unter "Systemwiederherstellung" angenommen werden sollen. Wert 0 = erlaubt Veränderungen Wert 1 = erlaubt keine Veränderungen Navigiere zum Schlüssel: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ sr start Dieser Wert verhindert oder aktiviert den Start der Systemwiederherstellung Wert 4 = Systemwiederherstellung komplett abgeschaltet Wert 0 = Systemwiederherstellung angeschaltet Trotzdem poste unbedingt noch ein HJ-Log (vielleicht läuft ja doch was unerkannt mit); Sowie ein Scan mit Antimalewarebyte (http://www.trojaner-board.de/51187-a...i-malware.html) chris
__________________ |
|
23.05.2008, 09:43
| #3 |
| Gesperrt | Benötige Hilfe bei der Fehlersuche. Also, ich habe alles angegebene erledigt, wohl aber ohne Erfolg:
__________________Habe nach dem Neustart versucht, Windows upzudaten, allerdings kam von Microsoft die Meldung, das irgendwas fehlt um den Updatevorgang fortzusetzen und ich könne das hier installieren.Hab ich getan, keine 10 sek. später bekomme ich wieder die Fehlermeldung: Die Site kann den Vorgang nicht fortsetzen, da mindestens einer der folgenden Windows-Dienste nicht ausgeführt wird: es sind wieder einmal die Updates, lassen sich immer noch nicht aktivieren, beim Versuch folgt erneut der Fehlercode 1058. Zur Systemwiederherstellung:alles soweit aktiviert.Mir fehlen ja auch nur die früheren Punkte, hab ja welchen von vor 2 Tagen, aber damit kann ich nix anfangen. Zu guter letzt hab ich HJ durchlaufen lassen, mit folgendem Log: Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA  [/edit] |
|
23.05.2008, 12:24
| #4 |
| Gesperrt | Benötige Hilfe bei der Fehlersuche. OK, hab die Logfile mal editiert  Hier nun nochmal: Logfile of Trend Micro HijackThis v2.0.2 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
|
23.05.2008, 21:22
| #5 |
| | Benötige Hilfe bei der Fehlersuche. Hi, sehe zwar kein HJ-Log, aber ich tippe darauf, dass Du zum Einschalten keine Berechtigung hast und der Dienst vom System schlafen gelegt wurde... Prüfe mal Deine Berechtigungen bzw. melde Dich als Systemadmin an und versuche es dann nochmal... oder start->Systemsteuerung->Verwaltung->Dienste "Automatische Updates" -> Doppelklick -> Reiter Anmelden prüfen (lokales Systemkonto, alternativ einen Admin auswählen und Kennwort eingeben) Die Startzeile sollte so aussehen (Reiter allgemein): "C:\WINDOWS\system32\svchost.exe -k netsvcs" Auch für svchost solltest Du Rechte haben ;o) Kannst auch versuchen ihn unter "Wiederherstellen" bei zweiter Aktion als Programm ausführen zu lassen... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
24.05.2008, 12:08
| #6 |
| Gesperrt | Benötige Hilfe bei der Fehlersuche. So, 3.Mal jetzt, nun müsste ich das geschnallt haben(@Admin:Sry) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:35:21, on 23.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\WINDOWS\system32\ctfmon.exe I:\Programme\SUPERAntiSpyware.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google (h**p://www.google.de/) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com (h**p://go.microsoft.com/fwlink/?LinkId=69157) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search (h**p://go.microsoft.com/fwlink/?LinkId=54896) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search (h**p://go.microsoft.com/fwlink/?LinkId=54896) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com (h**p://go.microsoft.com/fwlink/?LinkId=69157) R3 - URLSearchHook: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll O3 - Toolbar: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] I:\Programme\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) – h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210927684734 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O21 - SSODL: mpfanvqg - {325D7FF0-1C89-4514-BFAF-DF4AA5879A5E} - (no file) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 5543 bytes  |
|
26.05.2008, 15:11
| #7 | |
| | Benötige Hilfe bei der Fehlersuche. Hi, hast Du die verschiedenen angegebenen Möglichkeiten getestet? Wenn ja und noch kein Erfolg hier noch eine Version: Lösche das Unterverzeichnis "SoftwareDistribution" im Windows-Verzeichnis. Dazu zunächst die Dienste "Automatische Updates" und "Intelligenter Hintergrundübertragungsdienst" beenden und nach dem Löschen des Verzeichnisses neu starten. So, bitte online prüfen lasse: C:\Programme\HChat\tbHCh1.dll virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen VirusTotal - Free Online Virus and Malware Scan Zitat:
Wenn dann immer noch nichts geht und die Scanner kein Ergebnis liefern, schauen wir nochmal tiefer rein: Download dss zum Desktop (http://www.techsupportforum.com/sect...eckard/dss.exe) Doppelklick dss.exe Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
27.05.2008, 12:01
| #8 |
| Gesperrt | Benötige Hilfe bei der Fehlersuche. Hi, erstmal grossen Dank an dich, das du dich immer noch mit mir beschäftigst^^Woanders wäre der Thread schon verstaubt  Ich habe auch mal das Prog "Malwarebytes" drüberlaufen lassen, hat auch genug gefunden.Automatische Updates kann ich wieder aktivieren, nur halt die Systemwiedergerstellungspunkte sind futsch(also die alten;neue werden ja erstellt)Das ist aber nicht soo schlimm.Da ich mir aber nicht sicher bin, ob mein Problem jetzt dauerhaft gelöst ist, habe ich mal das DSS drüberhuschen lassen, mit folgendem Ergebnis:Main Deckard's System Scanner v20071014.68 Run by Ray on 2008-05-27 11:53:39 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 5 Restore Point(s) -- 7: 2008-05-27 09:53:43 UTC - RP136 - Deckard's System Scanner Restore Point 6: 2008-05-26 09:36:36 UTC - RP135 - Windows XP Service Pack 3 wurde installiert. 5: 2008-05-26 09:24:41 UTC - RP134 - SP3 4: 2008-05-26 09:23:44 UTC - RP133 - Software Distribution Service 3.0 3: 2008-05-22 20:52:42 UTC - RP132 - Systemprüfpunkt -- First Restore Point -- 1: 2008-05-19 22:04:24 UTC - RP130 - Software Distribution Service 3.0 Backed up registry hives. Performed disk cleanup. System Drive C: has 1.32 GiB (less than 15%) free. -- HijackThis (run as Ray.exe) ------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:54:20, on 27.05.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\WINDOWS\system32\ctfmon.exe I:\Programme\SUPERAntiSpyware.exe C:\WINDOWS\System32\alg.exe C:\Dokumente und Einstellungen\***\Desktop\dss.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\DOKUME~1\***\Desktop\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = **tp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {112B308F-9EB7-4485-B784-23BF1F04AD43} - (no file) O2 - BHO: (no name) - {2E529F87-2B52-438C-9E7C-7D0A0DD910BA} - (no file) O2 - BHO: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll O2 - BHO: (no name) - {32BC0C30-669B-49E0-9E8B-0C0CCB529F9B} - (no file) O2 - BHO: (no name) - {39D2F47E-0A60-4923-964C-B39E50E12BE7} - (no file) O2 - BHO: (no name) - {3A8400E9-2E9D-44B7-9A70-A73E52621031} - (no file) O2 - BHO: (no name) - {3ED60D93-AD56-45EF-BF99-24236A46FC36} - (no file) O2 - BHO: (no name) - {4AFA5B8B-0E02-4DE2-9FA3-AE7C32020C05} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5D328CE2-E837-404D-B794-82758B8F31F7} - (no file) O2 - BHO: (no name) - {692FBBCC-FA52-4D4D-B53E-593A1B6D55A3} - (no file) O2 - BHO: (no name) - {84B51CC6-5E21-44CB-B826-39DEC9B7E572} - (no file) O2 - BHO: (no name) - {9D58D03A-AC89-4E54-B61D-C5872F064BB0} - (no file) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {CA0C2B77-AB3C-49F0-9EF9-8CE4D4206A89} - (no file) O3 - Toolbar: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] I:\Programme\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**0p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210927684734 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: !SASWinLogon - I:\Programme\SASWINLO.dll O20 - Winlogon Notify: rqRJYqrO - C:\WINDOWS\ O21 - SSODL: mpfanvqg - {325D7FF0-1C89-4514-BFAF-DF4AA5879A5E} - (no file) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6747 bytes -- File Associations ----------------------------------------------------------- .cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%* .cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%* .reg - regfile - shell\open\command - regedit.exe "%1" %* .scr - scrfile - shell\open\command - "%1" %* -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R3 ASFWHide - c:\dokumente und einstellungen\***\lokale einstellungen\temp\asfwhide (file missing) R3 DrvFltIp - c:\dokumente und einstellungen\***\lokale einstellungen\temp\drvfltip (file missing) S3 ASPI (Advanced SCSI Programming Interface Driver) - c:\windows\system32\drivers\aspi32.sys <Not Verified; Adaptec; Adaptec's ASPI Layer> S3 CardReaderFilter (Card Reader Filter) - c:\windows\system32\drivers\usbcrft.sys <Not Verified; ICSI Technology Ltd.; USB Card Reader and FlashDisk> -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 Nero BackItUp Scheduler 3 - c:\programme\nero\nero8\nero backitup\nbservice.exe -- Device Manager: Disabled ---------------------------------------------------- Class GUID: Description: Device ID: STREAM\PHTVTUNE\4&2EDBAE0F&0&0 Manufacturer: Name: PNP Device ID: STREAM\PHTVTUNE\4&2EDBAE0F&0&0 Service: -- Scheduled Tasks ------------------------------------------------------------- 2008-05-27 11:34:55 488 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job -- Files created between 2008-04-27 and 2008-05-27 ----------------------------- 2008-05-26 11:50:03 0 d-------- C:\WINDOWS\Prefetch 2008-05-26 11:43:56 0 d-------- C:\WINDOWS\l2schemas 2008-05-26 11:43:55 0 d-------- C:\WINDOWS\system32\bits 2008-05-26 11:17:58 0 d-------- C:\WINDOWS\system32\CatRoot2 2008-05-23 15:26:14 0 d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\zts2.exe 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\system32\systems.txt 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\system32\iifgfgf.dll 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\rundll16.exe 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\rundl132.dll 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\logo1_.exe 2008-05-22 20:31:12 1095 --ahs---- C:\WINDOWS\system32\qtvuxyay.ini2 2008-05-20 12:32:36 2256 --ahs---- C:\WINDOWS\system32\CbKQYJjl.ini2 2008-05-20 00:07:16 1317 --ahs---- C:\WINDOWS\system32\yJjSDccf.ini2 2008-05-19 21:16:11 0 d-------- C:\Programme\Winamp 2008-05-19 14:31:11 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-05-18 23:55:46 0 d-------- C:\Programme\MSXML 6.0 2008-05-18 23:53:04 124416 -----n--- C:\WINDOWS\system32\prntvpt.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2008-05-18 23:48:35 10752 -----n--- C:\WINDOWS\system32\rspndr.exe <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2008-05-18 23:48:35 62336 -----n--- C:\WINDOWS\system32\drivers\rspndr.sys <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2008-05-18 23:41:38 0 d-------- C:\WINDOWS\system32\de 2008-05-18 23:35:37 0 d-------- C:\WINDOWS\ServicePackFiles 2008-05-16 12:28:00 2266 --ahs---- C:\WINDOWS\system32\FeghNXyb.ini2 2008-05-16 11:03:08 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-05-16 01:08:39 1181 --ahs---- C:\WINDOWS\system32\OnWENXbc.ini2 -- Find3M Report --------------------------------------------------------------- 2008-05-26 11:52:13 316594 --a------ C:\WINDOWS\system32\perfh007.dat 2008-05-26 11:52:13 48156 --a------ C:\WINDOWS\system32\perfc007.dat 2008-05-26 11:44:16 0 d-------- C:\Programme\Messenger 2008-05-26 11:43:55 0 d-------- C:\Programme\Movie Maker 2008-05-26 11:40:58 0 d-------- C:\Programme\Windows NT 2008-05-23 15:26:42 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2008-05-20 11:44:44 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com 2008-05-20 11:44:00 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-05-19 21:23:57 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp 2008-05-19 19:26:41 0 d-------- C:\Programme\TuneUp Utilities 2008 2008-05-16 12:42:21 0 d-------- C:\Programme\Picasa2 2008-05-16 11:45:02 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Google 2008-05-16 11:43:20 0 d-------- C:\Programme\Google 2008-05-16 11:05:40 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe 2008-05-16 11:03:08 0 d-------- C:\Programme\Gemeinsame Dateien 2008-05-16 02:12:00 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons 2008-05-14 13:09:56 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\phonostar-Player 2008-05-13 11:16:06 0 d-------- C:\Programme\HChat 2008-05-07 18:33:26 0 d-------- C:\Programme\No23 Recorder 2008-04-19 18:48:11 0 d-------- C:\Programme\Windows Media Connect 2 2008-04-02 20:54:12 0 d-------- C:\Programme\Kaspersky Lab -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{112B308F-9EB7-4485-B784-23BF1F04AD43}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E529F87-2B52-438C-9E7C-7D0A0DD910BA}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{322c2442-4014-43a0-a94b-cf9df22bada8}] 13.05.2008 11:16 1470488 --a------ C:\Programme\HChat\tbHCh1.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32BC0C30-669B-49E0-9E8B-0C0CCB529F9B}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{39D2F47E-0A60-4923-964C-B39E50E12BE7}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3A8400E9-2E9D-44B7-9A70-A73E52621031}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3ED60D93-AD56-45EF-BF99-24236A46FC36}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4AFA5B8B-0E02-4DE2-9FA3-AE7C32020C05}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5D328CE2-E837-404D-B794-82758B8F31F7}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{692FBBCC-FA52-4D4D-B53E-593A1B6D55A3}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84B51CC6-5E21-44CB-B826-39DEC9B7E572}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9D58D03A-AC89-4E54-B61D-C5872F064BB0}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CA0C2B77-AB3C-49F0-9EF9-8CE4D4206A89}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{322C2442-4014-43A0-A94B-CF9DF22BADA8}"= C:\Programme\HChat\tbHCh1.dll [13.05.2008 11:16 1470488] [-HKEY_CLASSES_ROOT\CLSID\{322C2442-4014-43A0-A94B-CF9DF22BADA8}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" [21.12.2007 17:31] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" [09.03.2007 20:50] "AGRSMMSG"="AGRSMMSG.exe" [29.06.2004 10:06 C:\WINDOWS\AGRSMMSG.exe] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [17.05.2008 15:03] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22] "SUPERAntiSpyware"="I:\Programme\SUPERAntiSpyware.exe" [13.05.2008 12:43] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableTaskMgr"=0 (0x0) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= I:\Programme\SASSEH.DLL [13.05.2008 10:13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] I:\Programme\SASWINLO.dll 19.04.2007 13:41 294912 I:\Programme\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] C:\WINDOWS\System32\dimsntfy.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRJYqrO] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Notification Packages"= scecli scecli scecli [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lpt83.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Dit"=Dit.exe "SoundMan"=SOUNDMAN.EXE "Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "WinampAgent"=C:\Programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] eapsvcs eaphost dot3svc dot3svc HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp napagent hkmsvc -- Hosts ----------------------------------------------------------------------- 127.0.0.1 ***.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 ***.008k.com 127.0.0.1 008k.com 127.0.0.1 ***.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 Command - Keeping Software Free 127.0.0.1 032439.com 7892 more entries in hosts file. -- End of Deckard's System Scanner: finished at 2008-05-27 11:57:21 ------------ |
|
27.05.2008, 12:05
| #9 |
| Gesperrt | Benötige Hilfe bei der Fehlersuche. Hier nun der Rest^^ Extra Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- Microsoft Windows XP Professional (build 2600) SP 3.0 Architecture: X86; Language: German CPU 0: Intel(R) Celeron(R) CPU 3.06GHz Percentage of Memory in Use: 38% Physical Memory (total/avail): 1023.48 MiB / 633.05 MiB Pagefile Memory (total/avail): 2461.73 MiB / 2066.75 MiB Virtual Memory (total/avail): 2047.88 MiB / 1904.01 MiB C: is Fixed (NTFS) - 9.77 GiB total, 1.31 GiB free. D: is Fixed (NTFS) - 72.83 GiB total, 24.95 GiB free. E: is Removable (No Media) F: is Removable (No Media) G: is Removable (No Media) H: is Fixed (NTFS) - 48.83 GiB total, 38.36 GiB free. I: is Fixed (NTFS) - 54.88 GiB total, 25.94 GiB free. J: is CDROM (No Media) K: is CDROM (No Media) L: is CDROM (No Media) \\.\PHYSICALDRIVE0 - ST3200021A - 186.31 GiB - 4 partitions \PARTITION0 (bootable) - Installierbares Dateisystem - 9.77 GiB - C: \PARTITION1 - Installierbares Dateisystem - 48.83 GiB - H: \PARTITION2 - Installierbares Dateisystem - 54.88 GiB - I: \PARTITION3 - Erweitert mit Int 13 (erweitert) - 72.83 GiB - D: \\.\PHYSICALDRIVE1 - Generic CF Card CF USB Device \\.\PHYSICALDRIVE2 - Generic MS/SD Combo MS USB Device \\.\PHYSICALDRIVE3 - Generic SM/xD Combo SM USB Device -- Security Center ------------------------------------------------------------- AUOptions is scheduled to auto-install. -- Environment Variables ------------------------------------------------------- ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users APPDATA=C:\Dokumente und Einstellungen\***\Anwendungsdaten CLIENTNAME=Console CommonProgramFiles=C:\Programme\Gemeinsame Dateien COMPUTERNAME=**** ComSpec=C:\WINDOWS\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Dokumente und Einstellungen\*** LOGONSERVER=\\**** NUMBER_OF_PROCESSORS=1 OS=Windows_NT Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 15 Model 4 Stepping 1, GenuineIntel PROCESSOR_LEVEL=15 PROCESSOR_REVISION=0401 ProgramFiles=C:\Programme PROMPT=$P$G SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOKUME~1\***\LOKALE~1\Temp TMP=C:\DOKUME~1\***\LOKALE~1\Temp USERDOMAIN=**** USERNAME=*** USERPROFILE=C:\Dokumente und Einstellungen\*** windir=C:\WINDOWS -- User Profiles --------------------------------------------------------------- *** (admin) -- Add/Remove Programs --------------------------------------------------------- --> C:\Programme\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL --> C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL --> C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL --> C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL --> C:\WINDOWS\UNNeroVision.exe /UNINSTALL --> C:\WINDOWS\UNRecode.exe /UNINSTALL --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003} Agere Systems PCI Soft Modem --> agrsmdel Ashampoo FireWall PRO 1.14 --> "C:\Programme\Ashampoo\Ashampoo FireWall PRO\unins000.exe" ATI - Software Uninstall Utility --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class ISPLAY -cleanGeneric USB CardReader 2.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EA1CB7AC-E221-4822-A789-0ADB051DC498}\Setup.exe" -l0x9 -wUninst Google Earth --> MsiExec.exe /I{97C0EA4A-1A0B-4C53-ACEB-49984DA79C90} Google Updater --> "C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall HChat Toolbar --> C:\PROGRA~1\HChat\UNWISE.EXE C:\PROGRA~1\HChat\INSTALL.LOG HijackThis 2.0.2 --> "C:\Dokumente und Einstellungen\Ray\Desktop\HijackThis.exe" /uninstall Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" ICQ 5.1 --> C:\Programme\ICQLite\ICQLiteUninstall.EXE IrfanView (remove only) --> C:\Programme\IrfanView\iv_uninstall.exe Kaspersky Personal Security Suite V --> MsiExec.exe /I{D0DCD54F-C829-41A5-AF32-71E632BB0E2C} Kaspersky Personal Security Suite V --> MsiExec.exe /I{D0DCD54F-C829-41A5-AF32-71E632BB0E2C} Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{C4A230B7-518F-4224-A5A3-27F06CC57111} Need for Speed™ Most Wanted --> D:\Spiele\EAUninstall.exe Nero 8 --> MsiExec.exe /X{5FCCD531-1B38-4A94-924C-127F722F1031} neroxml --> MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B} phonostar-Player Version 1.50.9 --> I:\phonostar\unins000.exe Picasa 2 --> "C:\Programme\Picasa2\Uninstall.exe" Realtek AC'97 Audio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE Sicherheitsupdate für Step by Step Interactive Training (KB923723) --> "C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" SiS 900 PCI Fast Ethernet Adapter Driver --> C:\WINDOWS\SiS\900\Uninst.exe Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe" SUPERAntiSpyware Professional --> MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA} TuneUp Utilities 2008 --> MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA} VCRedistSetup --> MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027} VideoLAN VLC media player 0.8.6d --> C:\Programme\VideoLAN\VLC\uninstall.exe Winamp --> "C:\Programme\Winamp\UninstWA.exe" Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" WinRAR --> C:\Programme\WinRAR\uninstall.exe XML Paper Specification Shared Components Pack 1.0 --> -- Application Event Log ------------------------------------------------------- Event Record #/Type603 / Error Event Submitted/Written: 05/27/2008 00:09:10 AM Event ID/Source: 1002 / Application Hang Event Description: Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. Event Record #/Type599 / Warning Event Submitted/Written: 05/26/2008 11:51:30 AM Event ID/Source: 5603 / WinMgmt Event Description: Ein Anbieter Rsop Planning Mode Provider wurde im WMI-Namespace root\RSOP registriert ohne die HostingModel-Eigenschaft festzulegen. Dieser Anbieter wird unter dem Konto "LocalSystem" ausgeführt. Dieses Konto verfügt über besondere Berechtigungen und der Anbieter kann eine Sicherheitsverletzung verursachen, wenn er Benutzeranforderungen nicht richtig imitiert. Stellen Sie sicher, dass das Sicherheitsverhalten des Anbieters überprüft wurde und aktualisieren Sie die HostingModel-Eigenschaft der Anbieterregistrierung auf ein Konto, das über die minimal erforderlichen Berechtigungen für die angeforderte Funktionalität verfügt. Event Record #/Type598 / Warning Event Submitted/Written: 05/26/2008 11:51:30 AM Event ID/Source: 5603 / WinMgmt Event Description: Ein Anbieter Rsop Planning Mode Provider wurde im WMI-Namespace root\RSOP registriert ohne die HostingModel-Eigenschaft festzulegen. Dieser Anbieter wird unter dem Konto "LocalSystem" ausgeführt. Dieses Konto verfügt über besondere Berechtigungen und der Anbieter kann eine Sicherheitsverletzung verursachen, wenn er Benutzeranforderungen nicht richtig imitiert. Stellen Sie sicher, dass das Sicherheitsverhalten des Anbieters überprüft wurde und aktualisieren Sie die HostingModel-Eigenschaft der Anbieterregistrierung auf ein Konto, das über die minimal erforderlichen Berechtigungen für die angeforderte Funktionalität verfügt. Event Record #/Type593 / Warning Event Submitted/Written: 05/26/2008 11:44:59 AM Event ID/Source: 63 / WinMgmt Event Description: Ein Anbieter, HiPerfCooker_v1, wurde im WMI-Namespace, Root\WMI, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden. Event Record #/Type573 / Error Event Submitted/Written: 05/23/2008 03:24:47 PM Event ID/Source: 1002 / Application Hang Event Description: Stillstehende Anwendung explorer.exe, Version 6.0.2900.3156, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000. -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type13933 / Error Event Submitted/Written: 05/27/2008 11:47:17 AM Event ID/Source: 10005 / DCOM Event Description: Bei DCOM ist der Fehler "%%1058" aufgetreten, als der Dienst "upnphost" mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {204810B9-73B2-11D4-BF42-00B0D0118B56} Event Record #/Type13913 / Error Event Submitted/Written: 05/27/2008 11:34:31 AM / 05/27/2008 11:35:01 AM Event ID/Source: 12294 / ati2mtag Event Description: CRT invalid display type Event Record #/Type13905 / Warning Event Submitted/Written: 05/27/2008 00:09:18 AM Event ID/Source: 257 / PlugPlayManager Event Description: Beim Senden der Benachrichtigung der Zielgerätänderung an Fenster von "WndClass_CWinDrivesNotifyerHelperWindow" wurde das Zeitlimit überschritten. Event Record #/Type13904 / Warning Event Submitted/Written: 05/27/2008 00:07:02 AM Event ID/Source: 257 / PlugPlayManager Event Description: Beim Senden der Benachrichtigung der Zielgerätänderung an Fenster von "WndClass_CWinDrivesNotifyerHelperWindow" wurde das Zeitlimit überschritten. Event Record #/Type13903 / Warning Event Submitted/Written: 05/27/2008 00:07:02 AM Event ID/Source: 257 / PlugPlayManager Event Description: Beim Senden der Benachrichtigung der Zielgerätänderung an Fenster von "WndClass_CWinDrivesNotifyerHelperWindow" wurde das Zeitlimit überschritten. -- End of Deckard's System Scanner: finished at 2008-05-27 11:57:21 -----------   |
|
27.05.2008, 12:47
| #10 | |
| | Benötige Hilfe bei der Fehlersuche. Hi, Überreste von Haxdoor-Rootkit gefunden; c:\dokumente und einstellungen\***\lokale einstellungen\temp\asfwhide -> ASFWHIDE, Spyware Remove C:\WINDOWS\system32\iifgfgf.dll -> IIFGFGF.DLL, Spyware Remove (Noch aktiv!) Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste die Ergebnisse mit Filename; Falls ein File NICHT erkannt wurde, unten bei "Files to delete" rauslöschen! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter
registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRJYqrO
Files to delete:
C:\WINDOWS\system32\qtvuxyay.ini2
C:\WINDOWS\system32\CbKQYJjl.ini2
C:\WINDOWS\system32\yJjSDccf.ini2
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\Programme\HChat\tbHCh1.dll
C:\WINDOWS\System32\dimsntfy.dll
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet. 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O2 - BHO: (no name) - {112B308F-9EB7-4485-B784-23BF1F04AD43} - (no file)
O2 - BHO: (no name) - {2E529F87-2B52-438C-9E7C-7D0A0DD910BA} - (no file)
O2 - BHO: (no name) - {32BC0C30-669B-49E0-9E8B-0C0CCB529F9B} - (no file)
O2 - BHO: (no name) - {39D2F47E-0A60-4923-964C-B39E50E12BE7} - (no file)
O2 - BHO: (no name) - {3A8400E9-2E9D-44B7-9A70-A73E52621031} - (no file)
O2 - BHO: (no name) - {3ED60D93-AD56-45EF-BF99-24236A46FC36} - (no file)
O2 - BHO: (no name) - {4AFA5B8B-0E02-4DE2-9FA3-AE7C32020C05} - (no file)
O2 - BHO: (no name) - {5D328CE2-E837-404D-B794-82758B8F31F7} - (no file)
O2 - BHO: (no name) - {692FBBCC-FA52-4D4D-B53E-593A1B6D55A3} - (no file)
O2 - BHO: (no name) - {84B51CC6-5E21-44CB-B826-39DEC9B7E572} - (no file)
O2 - BHO: (no name) - {9D58D03A-AC89-4E54-B61D-C5872F064BB0} - (no file)
O20 - Winlogon Notify: rqRJYqrO - C:\WINDOWS\
O21 - SSODL: mpfanvqg - {325D7FF0-1C89-4514-BFAF-DF4AA5879A5E} - (no file)
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:Ein Leitfaden und Tutorium zur Nutzung von ComboFix Danach bitte neues HJ-Log und ein neues DSS-Log; Poste auch das Log von Avenger, HJ (beim Fixen) und Combofix! chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
28.05.2008, 09:23
| #11 | |
| Gesperrt | Benötige Hilfe bei der Fehlersuche.Zitat:
C:\Programme\HChat\tbHCh1.dll hab ich überprüft, kein Ergebnis bzw. 0%. Alle anderen lassen sich nicht überprüfen, konnten nicht geöffnet werden bzw. waren Ordner ohne Inhalt. Nun folgen dann noch die Log´s von HJ, DSS und Combofix: HJ und DSS eckard's System Scanner v20071014.68 Run by Ray on 2008-05-28 10:04:59 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- HijackThis (run as Ray.exe) ------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:05:04, on 28.05.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\WINDOWS\system32\ctfmon.exe I:\Programme\SUPERAntiSpyware.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\***\Desktop\dss.exe C:\DOKUME~1\***\Desktop\***.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {CA0C2B77-AB3C-49F0-9EF9-8CE4D4206A89} - (no file) O3 - Toolbar: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] I:\Programme\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210927684734 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: !SASWinLogon - I:\Programme\SASWINLO.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 5604 bytes -- Files created between 2008-04-28 and 2008-05-28 ----------------------------- 2008-05-28 09:42:19 68096 --a------ C:\WINDOWS\zip.exe 2008-05-28 09:42:19 49152 --a------ C:\WINDOWS\VFind.exe 2008-05-28 09:42:19 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists> 2008-05-28 09:42:19 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller> 2008-05-28 09:42:19 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor> 2008-05-28 09:42:19 98816 --a------ C:\WINDOWS\sed.exe 2008-05-28 09:42:19 80412 --a------ C:\WINDOWS\grep.exe 2008-05-28 09:42:19 89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; > 2008-05-28 02:15:46 17408 --a------ C:\WINDOWS\system32\drivers\pxark.sys <Not Verified; Prevx; Prevx CSI> 2008-05-28 02:15:46 0 d-------- C:\Programme\PrevxCSI 2008-05-26 11:50:03 0 d-------- C:\WINDOWS\Prefetch 2008-05-26 11:43:56 0 d-------- C:\WINDOWS\l2schemas 2008-05-26 11:43:55 0 d-------- C:\WINDOWS\system32\bits 2008-05-26 11:17:58 0 d-------- C:\WINDOWS\system32\CatRoot2 2008-05-23 15:26:14 0 d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\zts2.exe 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\system32\systems.txt 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\system32\iifgfgf.dll 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\rundll16.exe 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\rundl132.dll 2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\logo1_.exe 2008-05-19 21:16:11 0 d-------- C:\Programme\Winamp 2008-05-19 14:31:11 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-05-18 23:55:46 0 d-------- C:\Programme\MSXML 6.0 2008-05-18 23:53:04 124416 -----n--- C:\WINDOWS\system32\prntvpt.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2008-05-18 23:48:35 10752 -----n--- C:\WINDOWS\system32\rspndr.exe <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2008-05-18 23:48:35 62336 -----n--- C:\WINDOWS\system32\drivers\rspndr.sys <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System> 2008-05-18 23:41:38 0 d-------- C:\WINDOWS\system32\de 2008-05-18 23:35:37 0 d-------- C:\WINDOWS\ServicePackFiles 2008-05-16 11:03:08 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe -- Find3M Report --------------------------------------------------------------- 2008-05-26 11:52:13 316594 --a------ C:\WINDOWS\system32\perfh007.dat 2008-05-26 11:52:13 48156 --a------ C:\WINDOWS\system32\perfc007.dat 2008-05-26 11:44:16 0 d-------- C:\Programme\Messenger 2008-05-26 11:43:55 0 d-------- C:\Programme\Movie Maker 2008-05-26 11:40:58 0 d-------- C:\Programme\Windows NT 2008-05-23 15:26:42 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2008-05-20 11:44:44 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com 2008-05-20 11:44:00 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-05-19 21:23:57 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp 2008-05-19 19:26:41 0 d-------- C:\Programme\TuneUp Utilities 2008 2008-05-16 12:42:21 0 d-------- C:\Programme\Picasa2 2008-05-16 11:45:02 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Google 2008-05-16 11:43:20 0 d-------- C:\Programme\Google 2008-05-16 11:05:40 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe 2008-05-16 11:03:08 0 d-------- C:\Programme\Gemeinsame Dateien 2008-05-16 02:12:00 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons 2008-05-14 13:09:56 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\phonostar-Player 2008-05-13 11:16:06 0 d-------- C:\Programme\HChat 2008-05-07 18:33:26 0 d-------- C:\Programme\No23 Recorder 2008-04-19 18:48:11 0 d-------- C:\Programme\Windows Media Connect 2 2008-04-02 20:54:12 0 d-------- C:\Programme\Kaspersky Lab -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{322c2442-4014-43a0-a94b-cf9df22bada8}] 13.05.2008 11:16 1470488 --a------ C:\Programme\HChat\tbHCh1.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CA0C2B77-AB3C-49F0-9EF9-8CE4D4206A89}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{322C2442-4014-43A0-A94B-CF9DF22BADA8}"= C:\Programme\HChat\tbHCh1.dll [13.05.2008 11:16 1470488] [-HKEY_CLASSES_ROOT\CLSID\{322C2442-4014-43A0-A94B-CF9DF22BADA8}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" [21.12.2007 17:31] "AGRSMMSG"="AGRSMMSG.exe" [29.06.2004 10:06 C:\WINDOWS\AGRSMMSG.exe] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [17.05.2008 15:03] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22] "SUPERAntiSpyware"="I:\Programme\SUPERAntiSpyware.exe" [13.05.2008 12:43] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"=0 (0x0) "HideLegacyLogonScripts"=0 (0x0) "HideLogoffScripts"=0 (0x0) "RunLogonScriptSync"=1 (0x1) "RunStartupScriptSync"=0 (0x0) "HideStartupScripts"=0 (0x0) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "HideLegacyLogonScripts"=0 (0x0) "HideLogoffScripts"=0 (0x0) "RunLogonScriptSync"=1 (0x1) "RunStartupScriptSync"=0 (0x0) "HideStartupScripts"=0 (0x0) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= I:\Programme\SASSEH.DLL [13.05.2008 10:13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] I:\Programme\SASWINLO.dll 19.04.2007 13:41 294912 I:\Programme\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy] C:\WINDOWS\System32\dimsntfy.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Notification Packages"= scecli scecli scecli [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lpt83.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}] @="Volume shadow copy" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Dit"=Dit.exe "SoundMan"=SOUNDMAN.EXE "Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "WinampAgent"=C:\Programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] eapsvcs eaphost dot3svc dot3svc HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp napagent hkmsvc -- End of Deckard's System Scanner: finished at 2008-05-28 10:07:26 ------------ |
|
28.05.2008, 09:27
| #12 |
| Gesperrt | Benötige Hilfe bei der Fehlersuche. Und der Combofix-Log: ComboFix 08-05-27.4 - Ray 2008-05-28 9:43:33.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.595 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt * Resident AV is active WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\regedit.com C:\WINDOWS\system32\CbKQYJjl.ini C:\WINDOWS\system32\CbKQYJjl.ini2 C:\WINDOWS\system32\FeghNXyb.ini C:\WINDOWS\system32\FeghNXyb.ini2 C:\WINDOWS\system32\OnWENXbc.ini C:\WINDOWS\system32\OnWENXbc.ini2 C:\WINDOWS\system32\qtvuxyay.ini C:\WINDOWS\system32\qtvuxyay.ini2 C:\WINDOWS\system32\taskmgr.com C:\WINDOWS\system32\yJjSDccf.ini C:\WINDOWS\system32\yJjSDccf.ini2 . ((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-28 )))))))))))))))))))))))))))))) . 2008-05-28 02:15 . 2008-05-28 02:15 <DIR> d-------- C:\Programme\PrevxCSI 2008-05-28 02:15 . 2008-05-28 03:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI 2008-05-28 02:15 . 2008-05-28 02:15 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys 2008-05-27 11:53 . 2008-05-27 11:53 <DIR> d-------- C:\Deckard 2008-05-26 11:43 . 2008-05-26 11:43 <DIR> d-------- C:\WINDOWS\system32\bits 2008-05-26 11:43 . 2008-05-26 11:43 <DIR> d-------- C:\WINDOWS\l2schemas 2008-05-26 11:17 . 2008-05-28 00:08 <DIR> d-------- C:\WINDOWS\system32\CatRoot2 2008-05-26 10:55 . 2004-08-04 00:38 327,168 --------- C:\WINDOWS\system32\drivers\ati2mtaa.sys 2008-05-23 15:26 . 2008-05-23 15:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-05-23 15:26 . 2008-05-23 15:26 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes 2008-05-23 15:26 . 2008-05-23 15:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-05-23 15:26 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-05-23 15:26 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-05-23 08:59 . 2008-05-23 08:59 <DIR> d-a------ C:\WINDOWS\zts2.exe 2008-05-23 08:59 . 2008-05-23 08:59 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2008-05-23 08:59 . 2008-05-23 08:59 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2008-05-23 08:59 . 2008-05-23 08:59 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2008-05-23 08:59 . 2008-05-23 08:59 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2008-05-23 08:59 . 2008-05-23 08:59 <DIR> d-a------ C:\WINDOWS\logo1_.exe 2008-05-23 08:57 . 2006-02-28 14:00 153,600 --a------ C:\WINDOWS\R.COM 2008-05-23 08:57 . 2006-02-28 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM 2008-05-23 08:57 . 2008-05-23 08:57 26 --a------ C:\WINDOWS\Lic.xxx 2008-05-20 11:44 . 2008-05-20 11:44 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com 2008-05-20 11:44 . 2008-05-20 11:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2008-05-19 21:16 . 2008-05-19 21:16 <DIR> d-------- C:\Programme\Winamp 2008-05-19 21:16 . 2008-05-19 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\Ray\Anwendungsdaten\Winamp 2008-05-19 21:16 . 2007-03-08 01:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2008-05-19 19:26 . 2008-05-19 19:26 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-05-19 19:26 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-05-19 14:31 . 2008-05-20 14:20 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-05-18 23:55 . 2008-05-18 23:55 <DIR> d-------- C:\Programme\MSXML 6.0 2008-05-18 23:53 . 2006-12-04 01:34 1,698,048 --------- C:\WINDOWS\system32\XpsSvcs.dll 2008-05-18 23:53 . 2006-12-04 01:34 1,698,048 -----c--- C:\WINDOWS\system32\dllcache\XpsSvcs.dll 2008-05-18 23:53 . 2006-12-04 01:34 671,744 -----c--- C:\WINDOWS\system32\dllcache\PrintFilterPipelineSvc.exe 2008-05-18 23:53 . 2006-12-04 01:34 580,352 --------- C:\WINDOWS\system32\XPSSHHDR.dll 2008-05-18 23:53 . 2006-12-04 01:34 580,352 -----c--- C:\WINDOWS\system32\dllcache\XPSSHHDR.dll 2008-05-18 23:53 . 2006-12-04 01:34 124,416 --------- C:\WINDOWS\system32\prntvpt.dll 2008-05-18 23:53 . 2006-12-04 01:34 27,648 -----c--- C:\WINDOWS\system32\dllcache\FilterPipelinePrintProc.dll 2008-05-18 23:53 . 2006-12-04 01:34 14,048 --------- C:\WINDOWS\system32\spmsg2.dll 2008-05-18 23:53 . 2008-05-18 23:53 3 --a------ C:\WINDOWS\system32\EUupdate.installed 2008-05-18 23:48 . 2006-11-08 10:51 62,336 --------- C:\WINDOWS\system32\drivers\rspndr.sys 2008-05-18 23:48 . 2006-11-08 10:51 10,752 --------- C:\WINDOWS\system32\rspndr.exe 2008-05-18 23:48 . 2008-05-18 23:48 3 --a------ C:\WINDOWS\system32\vbrun60sp6.installed 2008-05-18 23:42 . 2008-05-18 23:42 3 --a------ C:\WINDOWS\system32\Wordpad-Converter-ZLib-update.installed 2008-05-18 23:41 . 2008-05-26 11:43 <DIR> d-------- C:\WINDOWS\system32\de 2008-05-18 23:41 . 2008-04-14 04:22 397,312 --------- C:\WINDOWS\system32\mmcex.dll 2008-05-18 23:41 . 2008-04-14 04:22 184,320 --------- C:\WINDOWS\system32\microsoft.managementconsole.dll 2008-05-18 23:41 . 2008-04-14 04:22 106,496 --------- C:\WINDOWS\system32\mmcfxcommon.dll 2008-05-18 23:41 . 2008-04-14 04:22 33,792 --------- C:\WINDOWS\system32\mmcperf.exe 2008-05-18 23:38 . 2008-04-13 20:46 121,984 --------- C:\WINDOWS\system32\drivers\usbvideo.sys 2008-05-18 23:35 . 2008-05-26 11:41 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-05-18 23:35 . 2008-04-14 04:20 6,144 --------- C:\WINDOWS\system32\kbdpash.dll 2008-05-18 23:35 . 2008-04-14 04:20 6,144 --------- C:\WINDOWS\system32\kbdnepr.dll 2008-05-18 23:35 . 2008-04-14 04:20 6,144 --------- C:\WINDOWS\system32\kbdiultn.dll 2008-05-18 23:35 . 2008-04-14 04:20 6,144 --------- C:\WINDOWS\system32\kbdbhc.dll 2008-05-16 11:39 . 2008-05-27 11:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-05-16 11:03 . 2008-05-16 11:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-05-16 10:42 . 2008-05-23 11:57 269 --a------ C:\WINDOWS\wininit.ini 2008-05-16 02:12 . 2008-05-16 02:12 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-28 07:56 10,730,528 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-05-28 07:54 320,032 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2008-05-28 07:53 34,160 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2008-05-28 07:53 154,136 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-05-28 07:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-05-20 09:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-05-19 17:26 --------- d-----w C:\Programme\TuneUp Utilities 2008 2008-05-16 10:42 --------- d-----w C:\Programme\Picasa2 2008-05-16 09:43 --------- d-----w C:\Programme\Google 2008-05-14 11:09 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\phonostar-Player 2008-05-13 09:16 --------- d-----w C:\Programme\HChat 2008-05-07 16:33 --------- d-----w C:\Programme\No23 Recorder 2008-04-19 16:48 --------- d-----w C:\Programme\Windows Media Connect 2 2008-04-18 19:44 96,645 ----a-w C:\WINDOWS\system32\drivers\klin.dat 2008-04-18 19:44 87,941 ----a-w C:\WINDOWS\system32\drivers\klick.dat 2008-04-14 05:53 11,264 ----a-w C:\WINDOWS\system32\spnpinst.exe 2008-04-14 05:52 989,696 ----a-w C:\WINDOWS\system32\setupapi.dll 2008-04-14 05:52 425,472 ----a-w C:\WINDOWS\system32\licdll.dll 2008-04-14 02:36 1,804 ----a-w C:\WINDOWS\system32\dcache.bin 2008-04-14 02:25 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe 2008-04-14 02:22 99,840 ----a-w C:\WINDOWS\system32\scardsvr.exe 2008-04-14 02:21 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll 2008-04-14 02:21 731,648 ----a-w C:\WINDOWS\system32\ntdll.dll 2008-04-14 02:21 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll 2008-04-14 02:21 5,632 ----a-w C:\WINDOWS\system32\wmi.dll 2008-04-14 02:21 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll 2008-04-14 02:02 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys 2008-04-14 02:02 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys 2008-04-14 02:02 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys 2008-04-14 02:02 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys 2008-04-14 02:02 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys 2008-04-14 02:00 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe 2008-04-14 02:00 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe 2008-04-14 01:59 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll 2008-04-14 01:58 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys 2008-04-14 01:58 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys 2008-04-14 01:58 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys 2008-04-14 01:58 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys 2008-04-14 01:58 14,720 ----a-w C:\WINDOWS\system32\drivers\kbdhid.sys 2008-04-14 01:57 93,184 ----a-w C:\WINDOWS\system32\msxml6r.dll 2008-04-14 01:57 40,448 ----a-w C:\WINDOWS\system32\drivers\intelppm.sys 2008-04-14 01:56 81,408 ------w C:\WINDOWS\system32\msshavmsg.dll 2008-04-14 01:56 51,712 ----a-w C:\WINDOWS\system32\inetres.dll 2008-04-14 01:56 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys 2008-04-14 01:55 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll 2008-04-14 01:55 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys 2008-04-14 01:54 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys 2008-04-14 01:54 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys 2008-04-14 01:54 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll 2008-04-14 01:53 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys 2008-04-14 01:52 68,096 ----a-w C:\WINDOWS\system32\browselc.dll 2008-04-14 01:52 57,728 ----a-w C:\WINDOWS\system32\drivers\redbook.sys 2008-04-14 01:52 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys 2008-04-14 01:52 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys 2008-04-14 01:52 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-04-14 01:51 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys 2008-04-14 01:50 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys 2008-04-14 01:50 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys 2008-04-14 01:49 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys 2008-04-14 01:49 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys 2008-04-14 01:49 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys 2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys 2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys 2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys 2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys 2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys 2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys 2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys 2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys 2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys 2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys 2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys 2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys 2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys 2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys 2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys 2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys 2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys 2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys 2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys 2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys 2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys 2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys 2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys 2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys 2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys 2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys 2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys 2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys 2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys 2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys 2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys 2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys 2008-04-13 18:56 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys 2008-04-13 18:56 12,288 ----a-w C:\WINDOWS\system32\drivers\tunmp.sys 2008-04-13 18:55 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{322c2442-4014-43a0-a94b-cf9df22bada8}] 2008-05-13 11:16 1470488 --a------ C:\Programme\HChat\tbHCh1.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CA0C2B77-AB3C-49F0-9EF9-8CE4D4206A89}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{322C2442-4014-43A0-A94B-CF9DF22BADA8}"= "C:\Programme\HChat\tbHCh1.dll" [2008-05-13 11:16 1470488] [HKEY_CLASSES_ROOT\clsid\{322c2442-4014-43a0-a94b-cf9df22bada8}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{322C2442-4014-43A0-A94B-CF9DF22BADA8}"= C:\Programme\HChat\tbHCh1.dll [2008-05-13 11:16 1470488] [HKEY_CLASSES_ROOT\clsid\{322c2442-4014-43a0-a94b-cf9df22bada8}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [2008-05-17 15:03 154880] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360] "SUPERAntiSpyware"="I:\Programme\SUPERAntiSpyware.exe" [2008-05-13 12:43 1510640] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" [2007-12-21 17:31 3543552] "AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 10:06 88363 C:\WINDOWS\AGRSMMSG.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= I:\Programme\SASSEH.DLL [2008-05-13 10:13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] I:\Programme\SASWINLO.dll 2007-04-19 13:41 294912 I:\Programme\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli scecli scecli [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lpt83.sys] @="Driver" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Dit"=Dit.exe "SoundMan"=SOUNDMAN.EXE "Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" "WinampAgent"=C:\Programme\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"= "C:\\Programme\\Kaspersky Lab\\Kaspersky Security Suite V\\avp.exe"= R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-05-28 02:15] R2 CSIScanner;CSIScanner;"C:\Programme\PrevxCSI\prevxcsi.exe" /service [] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 04:23] R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 08:04] R3 DrvFltIp;DrvFltIp;C:\Dokumente und Einstellungen\***\Lokale Einstellungen\TEMP\DrvFltIp [2006-12-21 03:34] R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-05 17:43] S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 09:05] S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-01-15 22:58] S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-19 19:26] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners "2008-05-28 07:54:34 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h***p://www.gmer.net Rootkit scan 2008-05-28 09:55:06 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide] "ImagePath"="\??\C:\Dokumente und Einstellungen\Ray\Lokale Einstellungen\TEMP\ASFWHide" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DrvFltIp] "ImagePath"="\??\C:\Dokumente und Einstellungen\Ray\Lokale Einstellungen\TEMP\DrvFltIp" . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\winlogon.exe -> C:\Programme\Ashampoo\Ashampoo FireWall PRO\MD5.dll PROCESS: C:\WINDOWS\system32\lsass.exe -> C:\Programme\Ashampoo\Ashampoo FireWall PRO\MD5.dll PROCESS: C:\WINDOWS\system32\csrss.exe -> C:\Programme\Ashampoo\Ashampoo FireWall PRO\MD5.dll . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-28 9:58:30 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-28 07:58:23 13 Verzeichnis(se), 1,461,448,704 Bytes frei 14 Verzeichnis(se), 1,570,705,408 Bytes frei 291 --- E O F --- 2008-05-19 22:05:28 |
|
28.05.2008, 15:23
| #13 |
| | Benötige Hilfe bei der Fehlersuche. Hi, das kommt dabei raus, wenn man das "d" in der Fileangabe übersieht (mein Fehler)! Lass mich raten, Du hast die Immunisierungsfunktion von Spybot verwendet ;o)... Führe die Scripte trotzdem aus, lösche aber folgende Zeilen bei Avenger raus: (Das ist die Immunisierung durch Spybot...) C:\WINDOWS\zts2.exe C:\WINDOWS\system32\vcmgcd32.dll C:\WINDOWS\system32\iifgfgf.dll C:\WINDOWS\rundll16.exe C:\WINDOWS\rundl132.dll C:\WINDOWS\logo1_.exe Führe danach wie angegeben das fixen mit HJ durch, lasse dann noch Antimalewarebytes drüberlaufen lassen: http://www.trojaner-board.de/51187-a...i-malware.html Poste das Log von Antimalwerbyte und ein neues Hj-Log... Chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
30.05.2008, 10:39
| #14 |
| Gesperrt | Benötige Hilfe bei der Fehlersuche. Malwarebytes' Anti-Malware 1.12 Datenbank Version: 781 Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|) Objekte gescannt: 140138 Scan Dauer: 42 minute(s), 49 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine Malware Objekte gefunden) Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:38:08, on 30.05.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\WINDOWS\system32\ctfmon.exe I:\Programme\SUPERAntiSpyware.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\internet explorer\iexplore.exe C:\Dokumente und Einstellungen\***\Desktop\Neuer Ordner\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = **tp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll (file missing) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll (file missing) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {CA0C2B77-AB3C-49F0-9EF9-8CE4D4206A89} - (no file) O3 - Toolbar: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll (file missing) O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210927684734[/url] O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url] O20 - Winlogon Notify: !SASWinLogon - I:\Programme\SASWINLO.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 6007 bytes |
|
30.05.2008, 11:56
| #15 |
| | Benötige Hilfe bei der Fehlersuche. Hi, so, jetzt noch CCleaner und dann sollten wir (fast) fertig sein; CCleaner - CCleaner 2.0 Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird. Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen. Dann startest du den Rechner im normalen Modus neu. Combofix entfernen: Start->Ausführen, dann combofix /u reinschreiben und OK drücken... Backups von Avenger&Co (falls vorhanden) löschen: C:\Qoobox - loeschen und Papierkorb leeren C:\avenger\backup.zip - loeschen und Papierkorb leeren C:\VundoFix Backups - loeschen und Papierkorb leeren C:\RVAXO-results.log -->Papierkorb leeren chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu Benötige Hilfe bei der Fehlersuche. |
| abgebrochen, anleitung, automatische, center, dienst, drivers, einstellungen, fehlercode 1, fehlercode 10, firewall, folge, gelöscht, kaspersky, log, microsoft, neuinstallation, nicht mehr, personal security, programm, rechner, security, security center, security suite, start, system, system32, systemwiederherstellung, temp, trojaner, trojanisches programm, updates, windows\system32\drivers |
Linear-Darstellung
