|
Alles rund um Windows: @ Zeichen Eingabe --> enter the passwort fensterWindows 7 Hilfe zu allen Windows-Betriebssystemen: Windows XP, Windows Vista, Windows 7, Windows 8(.1) und Windows 10 / Windows 11- als auch zu sämtlicher Windows-Software. Alles zu Windows 10 ist auch gerne willkommen. Bitte benenne etwaige Fehler oder Bluescreens unter Windows mit dem Wortlaut der Fehlermeldung und Fehlercode. Erste Schritte für Hilfe unter Windows. |
15.06.2008, 13:34 | #16 |
> MalwareDB | @ Zeichen Eingabe --> enter the passwort fenster [gelöst] Mir fällt auf, das auf allen Screenshots Java läuft, kannst Du es testweise mal deinstallieren (auch die jetzt neue Version) und dann das Verhalten prüfen. Dazu noch folgendes: Silentrunners Logfile -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) edit: Kannst Du bitte einen Screenshot von Deinem Desktop machen (editiere eventuelle persönliche Daten!).
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall Geändert von BataAlexander (15.06.2008 um 14:02 Uhr) |
15.06.2008, 14:21 | #17 |
| @ Zeichen Eingabe --> enter the passwort fenster [gelöst] So hier das Silentrunners Ergebnis
__________________Code:
ATTFilter "Silent Runners.vbs", revision 58, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."] "ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "IgfxTray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"] "HotKeysCmds" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"] "Smapp" = "C:\Programme\Analog Devices\SoundMAX\Smtray.exe" ["Analog Devices, Inc."] "ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"] "vptray" = "C:\PROGRA~1\SYMANT~1\VPTray.exe" ["Symantec Corporation"] "itype" = ""C:\Programme\Microsoft IntelliType Pro\itype.exe"" [MS] "IntelliPoint" = ""C:\Programme\Microsoft IntelliPoint\ipoint.exe"" [MS] "Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"] "DFGQ Agent" = "C:\WINDOWS\system32\28463\DFGQ.exe" [null data] "SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Helper" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided) -> {HKLM...CLSID} = "Google Toolbar Notifier BHO" \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll" ["Google Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions" -> {HKLM...CLSID} = "VpshellEx Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook File Icon Extension" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{97FA8AA2-EE77-4FF2-9449-424D8924EF21}" = "IntelliType Pro Zooming Control Panel Property Page" -> {HKLM...CLSID} = "IntelliType Pro Zooming Property Page" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplzm.dll"" [MS] "{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB}" = "IntelliType Pro Scrolling Control Panel Property Page" -> {HKLM...CLSID} = "IntelliType Pro Scrolling Property Page" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwhl.dll"" [MS] "{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2}" = "IntelliType Pro Key Settings Control Panel Property Page" -> {HKLM...CLSID} = "IntelliType Pro Key Settings Property Page" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplkey.dll"" [MS] "{A2569D1F-4E06-43EC-9825-0088B471BE47}" = "IntelliType Pro Wireless Control Panel Property Page" -> {HKLM...CLSID} = "IntelliType Pro Wireless Control Panel Property Page" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwir.dll"" [MS] "{20082881-FC36-4E47-9A7A-644C95FF749F}" = "IntelliPoint Wireless Control Panel Property Page" -> {HKLM...CLSID} = "Schnurlose Eigenschaften" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwir.dll"" [MS] "{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE}" = "IntelliPoint Wheel Control Panel Property Page" -> {HKLM...CLSID} = "Scrollrad-Eigenschaftenseite" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwhl.dll"" [MS] "{653DCCC2-13DB-45B2-A389-427885776CFE}" = "IntelliPoint Activities Control Panel Property Page" -> {HKLM...CLSID} = "Aktivitäten-Eigenschaftenseite" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplact.dll"" [MS] "{124597D8-850A-41AE-849C-017A4FA99CA2}" = "IntelliPoint Buttons Control Panel Property Page" -> {HKLM...CLSID} = "Tasten-Eigenschaftenseite" \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplbtn.dll"" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"] <<!>> NavLogon\DLLName = "C:\WINDOWS\system32\NavLogon.dll" ["Symantec Corporation"] HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}" -> {HKLM...CLSID} = "VpshellEx Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}" -> {HKLM...CLSID} = "VpshellEx Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "Administrator" & "All Users" startup folders: --------------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ "{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided) -> {HKLM...CLSID} = "&Google" \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"] Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Research" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll" ["Sun Microsystems, Inc."] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Research" {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ GEARSecurity, GEARSecurity, "C:\WINDOWS\System32\GEARSec.exe" ["GEAR Software"] Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"] SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."] Symantec AntiVirus, Symantec AntiVirus, ""C:\Programme\Symantec AntiVirus\Rtvscan.exe"" ["Symantec Corporation"] Symantec AntiVirus Definition Watcher, DefWatch, ""C:\Programme\Symantec AntiVirus\DefWatch.exe"" ["Symantec Corporation"] Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"] Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"] V2i Protector, V2i Protector, "C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe" ["PowerQuest Corporation"] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- (launch time: 2008-06-15 15:14:17) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 19 seconds. ---------- (total run time: 83 seconds) |
15.06.2008, 14:34 | #18 |
> MalwareDB | @ Zeichen Eingabe --> enter the passwort fenster [gelöst] Hast Du das mit der deinstallation von Java mal versucht?
__________________Auf Deinem Desktop fällt mir die Datei CAVQUDBZ auf. Kennst Du Diese? Wenn nicht bitte bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen und das Ergebnis hier posten.
__________________ |
15.06.2008, 14:43 | #19 |
| @ Zeichen Eingabe --> enter the passwort fenster [gelöst] Sorry hatte ich vergessen zu erwähnen.Hab Java zuvor deinstalliert hat aber auch nix gebracht. Die genannte Datei auf meinem Desktop ist nur ein Studium Link von meiner Freundin. |
15.06.2008, 14:53 | #20 | |
> MalwareDB | @ Zeichen Eingabe --> enter the passwort fenster [gelöst] Kannst Du diese Datei finden? Zitat:
Scanne Dein System einmal mit dem Kaspersky Online Scanner und poste das Log hier.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
15.06.2008, 16:57 | #21 |
| @ Zeichen Eingabe --> enter the passwort fenster [gelöst] Den angegebenen Ordner gibts bei mir im Windows Verzeichnis gar nicht.Hab dann mal über die Suche nach der Datei geschaut und dann nur im Ordner Windows/Prefetch die folgende Datei gefunden DFGQ.EXE-3A993D32.pf . Hab dieses dann mal mit Virus Total gescannt aber ohne Ergebnis Code:
ATTFilter Datei DFGQ.EXE-3A993D32.pf empfangen 2008.06.15 17:53:10 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.6.13.1 2008.06.15 - AntiVir 7.8.0.55 2008.06.14 - Authentium 5.1.0.4 2008.06.15 - Avast 4.8.1195.0 2008.06.15 - AVG 7.5.0.516 2008.06.14 - BitDefender 7.2 2008.06.15 - CAT-QuickHeal 9.50 2008.06.14 - ClamAV 0.92.1 2008.06.15 - DrWeb 4.44.0.09170 2008.06.15 - eSafe 7.0.15.0 2008.06.15 - eTrust-Vet 31.6.5873 2008.06.14 - Ewido 4.0 2008.06.15 - F-Prot 4.4.4.56 2008.06.12 - F-Secure 6.70.13260.0 2008.06.15 - Fortinet 3.14.0.0 2008.06.15 - GData 2.0.7306.1023 2008.06.15 - Ikarus T3.1.1.26.0 2008.06.15 - Kaspersky 7.0.0.125 2008.06.15 - McAfee 5317 2008.06.13 - Microsoft 1.3604 2008.06.15 - NOD32v2 3187 2008.06.15 - Norman 5.80.02 2008.06.13 - Panda 9.0.0.4 2008.06.15 - Prevx1 V2 2008.06.15 - Rising 20.48.62.00 2008.06.15 - Sophos 4.30.0 2008.06.15 - Sunbelt 3.0.1145.1 2008.06.05 - Symantec 10 2008.06.15 - TheHacker 6.2.92.350 2008.06.14 - VBA32 3.12.6.7 2008.06.14 - VirusBuster 4.3.26:9 2008.06.12 - Webwasher-Gateway 6.6.2 2008.06.15 - weitere Informationen File size: 17140 bytes MD5...: 09eb6cc088f075e694a8e2b9d2017708 SHA1..: 111d853820d281562c1fd73c43b31315623ac85f SHA256: 18b4b0a8725ed0b45b92272624208291fcefc299597ad6d372d1afd37ddc0ddc SHA512: 37b215ebc19f6d469ef1efe28590e9595c3e145fc393171ca74c94055cd97b42 aaaa1f711d90feb1c6dfd2746e51c0d22189cc6987cb54aa847f2bcbaa6c0ac2 PEiD..: - PEInfo: - |
15.06.2008, 17:29 | #22 |
| @ Zeichen Eingabe --> enter the passwort fenster [gelöst] so nun hab ich auch den Kaspersky Online Scanner durchgeführt dieser ist glaub sogar fündig geworden.Nur was nun.Wie bekomme ich das Zeugs runter?? Code:
ATTFilter Sonntag, 15. Juni 2008 18:23:46 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.1 Letztes Update der Antiviren-Datenbanken: 15/06/2008 Anzahl der Einträge in den Antiviren-Datenbanken: 867406 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Kritische Objekte C:\WINDOWS C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 11660 Viren gefunden 3 Infizierte Objekte gefunden 3 Verdächtige Objekte gefunden 0 Untersuchungszeit 00:11:32 Name des infizierten Objekts Virusname Letzte Aktion C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\EventCache\{6D7A5A71-79E9-4024-AD78-83A8F391C588}.bin Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen C:\WINDOWS\system32\28463\DFGQ.exe Infizierte Objekte: Trojan-Spy.Win32.Ardamax.ce übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. Und hier noch der Memory Scan Code:
ATTFilter Sonntag, 15. Juni 2008 18:31:09 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.1 Letztes Update der Antiviren-Datenbanken: 15/06/2008 Anzahl der Einträge in den Antiviren-Datenbanken: 867406 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Memory Untersuchungsergebnisse Untersuchte Objekte insgesamt 1699 Viren gefunden 2 Infizierte Objekte gefunden 30 Verdächtige Objekte gefunden 0 Untersuchungszeit 00:00:46 Name des infizierten Objekts Virusname Letzte Aktion [0] [System Process] => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [0] [System Process] => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [1788] explorer.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [1788] explorer.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [2028] igfxtray.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [2028] igfxtray.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [204] hkcmd.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [204] hkcmd.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [256] SMTray.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [256] SMTray.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [240] ccApp.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [240] ccApp.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [2004] VPTray.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [2004] VPTray.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [248] itype.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [248] itype.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [556] ipoint.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [556] ipoint.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [1500] jusched.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [1500] jusched.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [1508] msmsgs.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [1508] msmsgs.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [1540] ctfmon.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [1540] ctfmon.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [1476] GoogleUpdater.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [1476] GoogleUpdater.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [3316] wuauclt.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [3316] wuauclt.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen [3948] iexplore.exe => C:\WINDOWS\system32\28463\DFGQ.007 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o übersprungen [3948] iexplore.exe => C:\WINDOWS\system32\28463\DFGQ.006 Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg übersprungen Die Untersuchung wurde abgeschlossen. |
15.06.2008, 17:57 | #23 |
/// Helfer-Team | @ Zeichen Eingabe --> enter the passwort fenster [gelöst] Ist zwar kein Virus, aber ein Keylogger und das könnte mit dem Passwort über einstimmen. Hast du irgendeine Idee ob du Ardamax installiert hast?
__________________ Kein Support per PM! |
15.06.2008, 18:06 | #24 |
| @ Zeichen Eingabe --> enter the passwort fenster [gelöst] Ich weiss leider nicht was dieses Ardamax überhaupt gut sein soll.Kann mir nicht vorstellen dass meine Freundin oder Ich dieses Teil installiert haben. |
15.06.2008, 18:11 | #25 |
/// Helfer-Team | @ Zeichen Eingabe --> enter the passwort fenster [gelöst] Du solltest du Dateien die angemeckert werden, nochmal bei Virustotal hochladen. Wenn sich das bewahrheitet was ich sehe, dann hilft nur noch Daten sichern und neu aufsetzen!
__________________ Kein Support per PM! |
15.06.2008, 18:36 | #26 |
| @ Zeichen Eingabe --> enter the passwort fenster [gelöst] das hört sich ja gar nicht gut an. hmm das Problem ist nur das ich nach wie vor im System32 Verzeichnis diesen 28463 Ordner einfach nicht finde auch wenn ich die versteckten Dateien einblende.Somit kann ich die Dateien auch nicht hochladen. |
15.06.2008, 18:47 | #27 |
| @ Zeichen Eingabe --> enter the passwort fenster [gelöst] so hab mich gerade mal bei google über den Ardamax Keylogger schlau gemacht.Das Ding hört sich ja wirklich sehr bösartig an und es wurde definitiv nicht von mir oder meiner Freundin auf deren Rechner installiert. Hab die DFGQ.exe nun auch mit Antyspy.info gefunden ,bringt das was wenn ich die betroffenen Dateien in die Quarantäne schiebe oder ist es dafür schon zu spät? Muss sich meine Freundin nun sorgen über ihre sämtlichen Passwörter etc. machen? Wie kann man sich denn so ne Scheiße einfangen?Zumal die wirklich ihren Rechner nur fürs Studium benutzt und nicht irgendwelche Moviez oder sonstiges Zeugs runterläd. Über das Anti-Spy.info Programm ist es mir nun doch gelungen in den 28463 Ordner zu kommen.Das Programm zeigt mir die DFGQ.exe,DFGQ.007,DFGQ006 als gefährlich an im Ordner sind aber noch andere Dateien des selben Typs.Was ist mit denen?? Hier mal ein Screenshot Wenn ich die DFGQ.exe mit Virustotal Scanne zeigt er mir auch diesen Ardamax an. Geändert von rx8wanki (15.06.2008 um 19:15 Uhr) |
15.06.2008, 20:25 | #28 | |
| @ Zeichen Eingabe --> enter the passwort fenster [gelöst]Zitat:
entferne den keylogger und ändere alle pw.
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
15.06.2008, 21:32 | #29 |
| @ Zeichen Eingabe --> enter the passwort fenster [gelöst] So nun hab ich alles entfernt.Kaspersky nochmals laufen lassen,der Online Scan findet nix mehr und das @ Zeichen funktioniert auch wieder.Passwörter wurden auch alle geändert. Vielen Dank für eure Bemühungen und Tips. Was empfehlt ihr dann für ein gutes Spyware Programm dass ich ab sofort immer im Hintergrund zur Überwachung laufen lassen kann? |
16.06.2008, 00:26 | #30 |
@ Zeichen Eingabe --> enter the passwort fenster [gelöst]Zitat: |
Themen zu @ Zeichen Eingabe --> enter the passwort fenster |
absolut, abstellen, aufforderung, eingabe, eingebe, enter, erschein, erscheint, fenster, folge, folgendes, funktionier, funktioniert, gefunde, handel, passwort, problem, rechner, schonmal, virus, zeichen, ähnliches |