|
Log-Analyse und Auswertung: Massenweise Sicherheitswarnungen von KasperskyWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.06.2008, 06:56 | #1 |
| Massenweise Sicherheitswarnungen von Kaspersky Hallo, Ich habe ein seriöses Problem: Meine Internet-Verbindung ist instabil, der Rechner selbst wird immer instabiler und die Kaspersky Sicherheitssuite produziert Sicherheitswarnungen en Masse. Die meisten sind informativer Natur oder 'Gelbe Warnungen' doch nun erhalte ich hin und wieder auch 'Rote'. Es gipfelt in Warnungen wie "Ein Treiber will die Kontrolle des gesamten Systems übernehmen". Hab den genauen Text nicht mehr im Kopf, aber es klang bedrohlich. Habe den Routine Namen in Google eingegeben und gesehen, dass es sich evtl. um einen Fehlalarm handelt. Will jetzt jedoch auf Nummer sicher gehen. Kann bitte jemand mein Logfile checken? Die Ergebnisse der automatischen Auswertungen im Internet geben mir keine direkten Hinweis auf bösartigen Sachen. Warscheinlich werdet ihr mir sagen, dass ich was Sicherheits-Zeug rausschmeissen soll, weil das sich evtl. gegenseitig behindert. Werde ich gerne tun, wenn sich der Rechner als definitiv sauber rausstellt. Also, hier ist das Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:22:07, on 29-06-2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\WINDOWS\System32\hphmon03.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Analog Devices\SoundMAX\Smax4.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Program Files\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\system32\RunDLL32.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe C:\Program Files\Nikon\NkView6\NkvMon.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\System32\HPHipm09.exe C:\Program Files\Spyware Doctor\upgrade.exe C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe C:\Program Files\Opera\Opera.exe C:\WINDOWS\System32\WISPTIS.EXE C:\Tools\HiJackThis\HijackThis_202.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://xx.xx.xx R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [VF0070 STISvc] RunDLL32.exe V0070Pin.dll,RunDLL32EP 513 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=58813 O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - h**ps://support.microsoft.com/oas/ActiveX/MSDcode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195969262437 O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA53CAD-E0CC-49FD-B4CC-49B4CE9BB6CF}: NameServer = 202.188.0.133,202.188.1.5 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Tools\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Tools\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 7799 bytes Das obige Logfile ist vom Benutzerkonto mit reduzierten Rechten (was normalerweise benutzt wird). Daneben gibt's ja noch den Administrator Account. Wenn ich das Logfile auch posten soll, bitte sagen. Vielen Dank schon mal! Mike Geändert von Mike_1111 (29.06.2008 um 07:14 Uhr) Grund: Hab was vergessen |
29.06.2008, 08:15 | #2 |
/// Helfer-Team | Massenweise Sicherheitswarnungen von Kaspersky Hi,
__________________wäre ja gut gewesen, wenn Du die Details der Kaspesky-Meldungen hier auch reingesetzt hättest. Dass das von einem eingeschränkten Konto aus gemacht wurde, sieht man im Log, diverse laufende Systemprozesse sind nicht aufgeführt. Ist extrem selten (maximal jedes hundertste). Wie Du schon weißt: Vielleicht etwas viel Software gleichzeitig, aber nichts was bedenklich wäre. Es ist theoretisch denkbar, dass ein Rootkit im Spiel ist. Praktisch halte ich das aber für sehr unwahrscheinlich, das kann sich nicht vom eingeschränkten Konto aus installieren (Treiberinstallation braucht Adminrechte). Wir sollten erstmal die Meldungen von Kspersky sichten um dann zu entscheiden ob es Sinn macht, dein System auseinanderzuscannen. Kaspersky schaut auf sehr viel bis alles ohne immer entscheiden zu können ob es normal oder böse ist. Da muss der Benutzer schon ein Spezialist sein um das dann für Kaspersky zu erledigen. Bloß die brauchen solche Security Sweets nicht, da liegt ein Widerspruch. Gruß, Karl |
29.06.2008, 09:22 | #3 |
| Massenweise Sicherheitswarnungen von Kaspersky Hi Karl,
__________________Nun poste ich zuerstmal die Kaspersky Logfiles von heute. Alles unter dem eingeschränken User Account (mit einer Ausnahme am Ende). Dann folgt ein weiterer Beitrag mit dem HijackThis Log vom Admin Account (sonst wird der Text zu lang). 1. Kaspersky Log <Datenverwaltung><Berichte> Kategorie <Ereignisse> Code:
ATTFilter 29-06-2008 07:26:13 Es wird empfohlen, den Computer vollständig auf Viren zu untersuchen. 29-06-2008 07:26:14 Schutz des Computers ist aktiv. 29-06-2008 07:26:14 Einige Schutzkomponenten wurden deaktiviert. Es wird empfohlen, sie wieder zu aktivieren. 29-06-2008 07:29:38 Der Versuch von Prozess mit PID 652 Zugriff auf den Prozess Kaspersky Internet Security mit PID 676 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 29-06-2008 07:29:38 Der Versuch von Prozess mit PID 652 Zugriff auf den Prozess Kaspersky Internet Security mit PID 3444 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 29-06-2008 07:29:39 Die geschützte Verbindung mit Server 213.236.208.60 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 07:29:41 Die geschützte Verbindung mit Server 61.6.65.197 auf Port 443 wurde nicht hergestellt. Name des Zertifikats astroview.astro.com.my. 29-06-2008 07:29:42 Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. Name des Zertifikats certs.opera.com. 29-06-2008 07:29:45 Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. Name des Zertifikats certs.opera.com. 29-06-2008 07:29:56 Die geschützte Verbindung mit Server 213.236.208.60 auf Port 443 wurde nicht hergestellt. Name des Zertifikats sitecheck2.opera.com. 29-06-2008 07:31:06 Das Update wurde erfolgreich abgeschlossen 29-06-2008 07:31:10 Die geschützte Verbindung mit Server 61.6.65.197 auf Port 443 wurde nicht hergestellt. Name des Zertifikats astroview.astro.com.my. 29-06-2008 07:31:16 Die geschützte Verbindung mit Server 65.55.184.29 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 07:31:17 Ein inkorrektes Zertifikat von Server 65.55.184.29 wurde empfangen. Name des Zertifikats www.update.microsoft.com. 29-06-2008 07:31:34 Prozess C:\Program Files\Spyware Doctor\swdsvc.exe (PID: 3508): Versuch zum Eindringen in einen anderen Prozess erlaubt. 29-06-2008 07:31:35 Der Versuch von Prozess mit PID 3508 Zugriff auf den Prozess Kaspersky Internet Security mit PID 676 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 29-06-2008 07:31:37 Der Versuch von Prozess mit PID 3508 Zugriff auf den Prozess Kaspersky Internet Security mit PID 3444 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 29-06-2008 07:51:53 Prozess C:\WINDOWS\System32\svchost.exe (PID: 1588): verdächtige Aktion. Versuch zum Schreiben eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Wert Start Menu, Daten ). 29-06-2008 07:51:53 Prozess C:\WINDOWS\System32\svchost.exe (PID: 1588): Versuch zum Schreiben eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Wert Start Menu, Daten ) wurde blockiert. 29-06-2008 08:25:05 Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 08:25:05 Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats mit dem Namen pop.gmail.com auf Viren untersucht. 29-06-2008 09:26:31 Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 09:26:31 Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats mit dem Namen pop.gmail.com auf Viren untersucht. 29-06-2008 09:31:26 Die geschützte Verbindung mit Server 65.55.13.126 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 09:31:27 Ein inkorrektes Zertifikat von Server 65.55.13.126 wurde empfangen. Name des Zertifikats www.update.microsoft.com. 29-06-2008 09:47:23 Das Update wurde erfolgreich abgeschlossen 29-06-2008 10:27:25 Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 10:27:26 Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats mit dem Namen pop.gmail.com auf Viren untersucht. 29-06-2008 11:15:54 Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 11:15:59 Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. Name des Zertifikats certs.opera.com. 29-06-2008 11:16:03 Die geschützte Verbindung mit Server 61.6.65.197 auf Port 443 wurde nicht hergestellt. Name des Zertifikats astroview.astro.com.my. 29-06-2008 11:16:11 Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. Name des Zertifikats certs.opera.com. 29-06-2008 11:16:13 Die geschützte Verbindung mit Server 61.6.65.197 auf Port 443 wurde nicht hergestellt. Name des Zertifikats astroview.astro.com.my. 29-06-2008 11:22:22 Die geschützte Verbindung mit Server 213.236.208.60 auf Port 443 wird durch den Austausch des Zertifikats mit dem Namen sitecheck2.opera.com auf Viren untersucht. 29-06-2008 11:22:44 Die geschützte Verbindung mit Server 213.236.208.60 auf Port 443 wurde nicht hergestellt. 29-06-2008 11:31:39 Die geschützte Verbindung mit Server 65.55.13.190 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 11:31:41 Ein inkorrektes Zertifikat von Server 65.55.13.190 wurde empfangen. Name des Zertifikats www.update.microsoft.com. 29-06-2008 11:56:15 Die geschützte Verbindung mit Server 61.6.65.197 auf Port 443 wird durch den Austausch des Zertifikats mit dem Namen astroview.astro.com.my auf Viren untersucht. 29-06-2008 11:58:10 Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 11:59:44 Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. 29-06-2008 11:59:56 Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. Name des Zertifikats certs.opera.com. 29-06-2008 12:00:43 Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. 29-06-2008 12:00:46 Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. Name des Zertifikats certs.opera.com. 29-06-2008 12:07:43 Das Update wurde erfolgreich abgeschlossen 29-06-2008 12:09:50 Die geschützte Verbindung mit Server 64.4.241.65 auf Port 443 wurde nicht hergestellt. Name des Zertifikats www.paypal.com. 29-06-2008 12:10:07 Die geschützte Verbindung mit Server 64.4.241.65 auf Port 443 wird durch den Austausch des Zertifikats mit dem Namen www.paypal.com auf Viren untersucht. 29-06-2008 12:16:26 Prozess C:\WINDOWS\system32\WISPTIS.EXE, gefunden: potentiell gefährliche Software 'Invader (loader)' (Modifikation). 29-06-2008 12:16:35 Prozess C:\WINDOWS\system32\WISPTIS.EXE (PID: 3740): Versuch zum Ausführen verdächtiger Aktionen erlaubt. 29-06-2008 12:24:31 Prozess C:\WINDOWS\system32\WISPTIS.EXE, gefunden: potentiell gefährliche Software 'Invader (loader)' (Modifikation). 29-06-2008 12:24:34 Prozess C:\WINDOWS\system32\WISPTIS.EXE (PID: 3740): Versuch zum Ausführen verdächtiger Aktionen erlaubt. 29-06-2008 12:31:49 Die geschützte Verbindung mit Server 65.55.192.61 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 12:31:50 Ein inkorrektes Zertifikat von Server 65.55.192.61 wurde empfangen. Name des Zertifikats www.update.microsoft.com. 29-06-2008 13:32:03 Die geschützte Verbindung mit Server 65.55.184.253 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 13:32:04 Ein inkorrektes Zertifikat von Server 65.55.184.253 wurde empfangen. Name des Zertifikats www.update.microsoft.com. 29-06-2008 13:42:14 Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 13:42:16 Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats mit dem Namen pop.gmail.com auf Viren untersucht. 29-06-2008 14:23:59 Die geschützte Verbindung mit Server 213.236.208.60 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 14:24:00 Die geschützte Verbindung mit Server 213.236.208.60 auf Port 443 wird durch den Austausch des Zertifikats mit dem Namen sitecheck2.opera.com auf Viren untersucht. 29-06-2008 14:24:01 Die geschützte Verbindung mit Server 65.173.218.96 auf Port 443 wurde nicht hergestellt. Name des Zertifikats *.sans.org. 29-06-2008 14:24:11 Die geschützte Verbindung mit Server 65.173.218.96 auf Port 443 wird durch den Austausch des Zertifikats mit dem Namen *.sans.org auf Viren untersucht. 29-06-2008 14:26:46 Ein inkorrektes Zertifikat von Server 209.85.171.97 wurde empfangen. Name des Zertifikats *.google-analytics.com. 29-06-2008 14:27:26 Das Update wurde erfolgreich abgeschlossen 29-06-2008 14:28:48 Ein inkorrektes Zertifikat von Server 209.85.171.97 wurde empfangen. Name des Zertifikats *.google-analytics.com. 29-06-2008 14:43:45 Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 14:43:46 Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats mit dem Namen pop.gmail.com auf Viren untersucht. 29-06-2008 15:20:23 Der Versuch von Prozess mit PID 1712 Zugriff auf den Prozess Kaspersky Internet Security mit PID 676 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 29-06-2008 15:32:16 Die geschützte Verbindung mit Server 65.55.192.126 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht. 29-06-2008 15:32:17 Ein inkorrektes Zertifikat von Server 65.55.192.126 wurde empfangen. Name des Zertifikats www.update.microsoft.com. Admin Account: 29-06-2008 15:42:00 Prozess C:\OPLIMIT\OCRAWR32.EXE, gefunden: potentiell gefährliche Software 'Invader (loader)' (Modifikation). 29-06-2008 15:42:08 Prozess C:\OPLIMIT\OCRAWR32.EXE (PID: 1676): Versuch zum Ausführen verdächtiger Aktionen erlaubt. 29-06-2008 15:42:09 Der Versuch von Prozess mit PID 652 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2184 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. User Account: 29-06-2008 15:48:53 Der Versuch von Prozess mit PID 652 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2272 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. Code:
ATTFilter gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\Explorer.EXE gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\services.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\winlogon.exe gefunden: potentiell gefährliche Software Invader Prozess: \SystemRoot\System32\smss.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\winlogon.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\ntvdm.exe gefunden: potentiell gefährliche Software Invader (loader) Prozess: C:\OPLIMIT\OCRAWR32.EXE gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\svchost.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\userinit.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\explorer.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Opera\Opera.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpzpre04.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\cygwin\_ct scripts for backups\rsyncStart_H_on_F_v1.bat gefunden: potentiell gefährliche Software Invader Prozess: C:\cygwin\_ct scripts for backups\rsyncStart_D_on_G_v1.bat gefunden: potentiell gefährliche Software Invader Prozess: C:\cygwin\_ct scripts for backups\rsyncbackup_D_on_G_v1.vbs gefunden: potentiell gefährliche Software Invader Prozess: C:\cygwin\_ct scripts for backups\rsyncStart_G_on_E_v1.bat gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Skype\Phone\Skype.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\cygwin\_ct scripts for backups\rsyncStart_F_on_G_v1.bat gefunden: potentiell gefährliche Software Invader Prozess: C:\cygwin\_ct scripts for backups\rsyncbackup_F_on_G_v1.vbs gefunden: potentiell gefährliche Software Invader Prozess: C:\cygwin\_ct scripts for backups\rsyncbackup_E_on_HK_v1.vbs gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\PC_Coach\users\Admin_Account\PC Coach\pccoach.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Real\RealPlayer\realplay.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Tools\ERUNT\AUTOBACK.EXE gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Mozilla Firefox\firefox.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Common Files\Real\Update_OB\realsched.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Ahead\Nero PhotoSnap\PhotoSnapViewer.exe gelöscht: Adware not-a-virus:AdWare.Win32.MegaSearch.s Datei: D:\_Backup_old_PC\###C\Program Files\Common Files\Real\Toolbar\realbar.dll gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Microtek\ScanWizard 5\ScanWizard5.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\hphmon03.exe gefunden: potentiell gefährliche Software Invader Prozess: Q:\Welcome.exe gefunden: potentiell gefährliche Software Invader Prozess: Q:\ViewNX\DISK1\setup.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriver.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\wuauclt.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\msiexec.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\cygwin\_ct scripts for backups\rsyncStart_C_on_E_v1.bat gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Common Files\Microsoft Shared\DW\DW20.EXE gefunden: potentiell gefährliche Software Invader Prozess: C:\cygwin\_ct scripts for backups\rsyncbackup_H_on_F_v1.vbs gefunden: potentiell gefährliche Software Invader Prozess: C:\cygwin\_ct scripts for backups\rsyncbackup_G_on_E_v1.vbs gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztbx04.exe gefunden: potentiell gefährliche Software Invader Prozess: Q:\Redist\LASU\LULnchr.exe gefunden: potentiell gefährliche Software Invader Prozess: Q:\Drivers\Bin\setup.exe gefunden: potentiell gefährliche Software Invader Prozess: Q:\Redist\LDM\setup.exe gefunden: potentiell gefährliche Software Invader Prozess: Q:\Redist\LDM\bw\LDMClient.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Tools\HiJackThis\HijackThis_202.exe gefunden: potentiell gefährliche Software Invader (loader) Prozess: C:\WINDOWS\system32\ntvdm.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Spyware Doctor\SDTrayApp.exe gelöscht: Adware not-a-virus:AdWare.Win32.MegaSearch.s Datei: D:\System Volume Information\_restore{45714452-73DC-4699-8FC3-18E6C65908A3}\RP279\A0140724.dll gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\XoftSpySE\XoftSpy.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLED.EXE gelöscht: Adware not-a-virus:AdWare.Win32.MegaSearch.s Datei: D:\System Volume Information\_restore{45714452-73DC-4699-8FC3-18E6C65908A3}\RP288\A0148342.dll gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Spyware Doctor\Update.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\rundll32.exe gefunden: potentiell gefährliche Software Invader Prozess: D:\My Documents (DoBe)\_DATA\Sources\Programs\Opera\Opera_950_en_Setup.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\dumprep.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\cygwin\_ct scripts for backups\rsyncStart_D_on_F_v1.bat gefunden: potentiell gefährliche Software Invader Prozess: C:\cygwin\_ct scripts for backups\rsyncbackup_D_on_F_v1.vbs gefunden: potentiell gefährliche Software Invader Prozess: R:\Welcome.exe gefunden: potentiell gefährliche Software Invader Prozess: R:\ViewNX\DISK1\setup.exe gefunden: potentiell gefährliche Software Invader Prozess: R:\PictureControlUtility\DISK1\setup.exe gefunden: potentiell gefährliche Software Invader Prozess: R:\MFC80\vcredist_x86.exe gefunden: potentiell gefährliche Software Invader Prozess: R:\NkMC\setup.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Opera\opera.exe gefunden: potentiell gefährliche Software Invader Prozess: D:\My Documents (User_Account)\_DATA\Sources\Programs\IrfanView\iview410_setup.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\taskmgr.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Real Alternative\mpclauncher.exe gefunden: potentiell gefährliche Software Invader Prozess: D:\My Documents (User_Account)\_DATA\Sources\Programs\PhotoMe\PhotoME079R16Setup.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Documents and Settings\Admin_Account\Local Settings\Temp\is-1PVKK.tmp\PhotoME079R16Setup.tmp gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\PhotoME\update.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\PhotoME\photome.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Documents and Settings\User_Account\Local Settings\Temp\Temporary Directory 1 for NV627.zip\EN\Disk1\Setup.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Common Files\InstallShield\Engine\6\Intel 32\IKernel.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Nikon\NkView6\NkvBrows.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Program Files\Nikon\NkView6\NkvView.exe gefunden: potentiell gefährliche Software Invader (loader) Prozess: C:\WINDOWS\system32\WISPTIS.EXE |
29.06.2008, 09:24 | #4 |
| Massenweise Sicherheitswarnungen von Kaspersky ... und nun der versprochene Rest: 3. HijackThis Log vom Admin Account: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:42:51, on 29-06-08 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Spyware Doctor\svcntaux.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Spyware Doctor\swdsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\WINDOWS\System32\hphmon03.exe C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Analog Devices\SoundMAX\Smax4.exe C:\Program Files\Spyware Doctor\SDTrayApp.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\RunDLL32.exe C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Messenger\MSMSGS.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe C:\WINDOWS\System32\HPHipm09.exe C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe C:\Program Files\Nikon\NkView6\NkvMon.exe C:\WINDOWS\system32\ntvdm.exe C:\OPLIMIT\ocrawr32.exe C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE C:\Tools\HiJackThis\HijackThis_202.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://xx.xx.xx R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://xx.xx.xx O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [VF0070 STISvc] RunDLL32.exe V0070Pin.dll,RunDLL32EP 513 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe O4 - HKCU\..\Run: [HijackThis startup scan] C:\Tools\HiJackThis\HijackThis.exe /startupscan O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: ERUNT AutoBackup.lnk = C:\Tools\ERUNT\AUTOBACK.EXE O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - Trusted Zone: h**p://download.windowsupdate.com O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=58813 O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - h**ps://support.microsoft.com/oas/ActiveX/MSDcode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195969262437 O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA53CAD-E0CC-49FD-B4CC-49B4CE9BB6CF}: NameServer = 202.188.0.133,202.188.1.5 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Tools\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Tools\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 8883 bytes Gruss, Mike |
29.06.2008, 19:16 | #5 | ||
/// Helfer-Team | Massenweise Sicherheitswarnungen von Kaspersky Oha, da liegen mir jetzt einige nicht ganz saubere Ausdrückre auf der Zunge ... Ich kann in den Logs nichts gefährliches entdecken, dafür aber eine Mengen Sachen, die klar belegen, dass bei Kaspersky nicht gerade die geballte Kompetenz vorliegt: Zitat:
Zitat:
Das ist ein typisches Beispiel für den Widerspruch mit diesen Ich-kümmer-mich-um-alles-Security-Sweets: Sie sind konzipiert für Leute, die von Computer- und Netzwerktechnik weniger bis keine Ahnung haben, um sie dann aber zu verstehen muss man Ahnung haben. dann aber wieder braucht man diese Software nicht mehr, weil man genau weiß dass man seinen Computer auch ohne sie sicher nutzen kann. Ich habe höchsten die freie Version von Antivir und die Wndows Firewall. Damit betreibe ich mein Notebook seit längerer Zeit an teilweise krass verseuchten Netzen, musste auch schon Modem nutzen, dennoch wäre Antivir überflüssig, bisher keinen Ernstfall gehabt, dafür müsste ja bereits was auf den Rechner vorgedrungen sein. Allerdings stecke ich eine Menge Mühe rein, andauernd Updates zu installieren, was schon nerven kann. Eben mal 120 MByte wegen eines Sicherheitsproblems in OpenOffice neu runterladen ist hier auch nicht gerade eine Freude. Was die Instabilität deines Systems angeht: Da empfehle ich erstmal unter der Software aufzuräumen. Eventuell wird dabei auch die Internetverbindung wieder besser, bei der wäre aber auch zu prüfen, ob nicht externe Gründe möglich sind. Teilst Du die Internetverbindung mit anderen Nutzern? Wie sind deren Erfahrungen? Was betreiben die an Netzwerksoftware? Hier, wo ich gerade schreibe, wird nachher nichts mehr gehen, wenn sie alle mit Skype loslegen. Woran zeigt sich die Instabilität? Gibt es Bluescreens oder sind es mehr nur einzelne Programme die abstürzen? Weiterhin überblicke ich nicht, was Kaspersky macht wenn er meint ein schlechtes Zertifikat entdeckt zu haben. Ich kann mich erinnern, dass es bei einem Konkurrenzprodukt möglich war, auf einen bestimmten Port einen Ping zu schicken und dann hat die Software den Rechner komplett von Netzwerk/Internet getrennt. Sicher sehr sicher, aber durch Steckerziehen einfacher zu haben. Geändert von KarlKarl (29.06.2008 um 19:26 Uhr) |
30.06.2008, 16:41 | #6 |
| Massenweise Sicherheitswarnungen von Kaspersky Lass mich mal versuchen, auf die Fragen näher einzugehen: 1. Internetstabilität Häufig kleckern die bits hier nur sehr zögerlich rein, auch wenn z.B. die Nachbarn, die an der selben Leitung hängen oder der Laptop, der am selben Router hängt keine Probleme haben. Manchmal versiegt der Datenfluss völlig, was natürchlich auch an der schlechten Bandbreite liegen kann bzw. einer evtl. hohen Fehlerrate bei der Übertragung zum ISP. So genau habe ich das noch nicht rauskriegen können, aber die Erfahrung zeigt, dass dieser Rechner sich besonders schwer tut. 2. Rechnerstabilität (a) Hat sich z.T. wieder gebessert. War extrem schlecht, nachdem ich eine neue WebCam installiert hatte (Logitech Quick Cam 9000). Mehrmals täglich waren Eingaben nicht mehr möglich; der Bildschirm war eingefroren und der Rechner musste neu gestartet werden. Habe Hinweise gefunden, dass ich nicht der einzige bin mit Problemen mit dieser WebCam und habe die Software wieder de-installiert. Nur die Treiber gelassen. Seitdem ist der Rechner nicht mehr eingefroren. (b) Hin und wieder crasht der Rechner aus heiterem Himmel. Das sieht dann so aus , als hätte jemand den Netzstecker gezogen. Lässt sich auch nicht wieder ohne weiteres einschalten. Mann muss dann wirklich den Stecker mal kurz rausziehen. Dann lässt er sich wieder einschalten und er fährt normal hoch. Das könnte evtl. an kurzzeitigen Stromschwankungen liegen, oder? Ist früher allerdings nie passiert und nun schon zum x-ten Male innerhalb einer Woche. Könnte das Hinweise geben auf irgendeinen Software-Schädling? Habe nochmals alle Eventlogs in Windows gecheckt. Kann nichts ungewöhnliches feststellen. Oder gibt das hier Hinweise: Code:
ATTFilter Event-ID 1000: Faulting application opera.exe, version 9.50.10063.0, faulting module ntdll.dll, version 5.1.2600.2180, fault address 0x00010f29. Event-ID 1002: Hanging application opera.exe, version 9.50.10063.0, hang module hungapp, version 0.0.0.0, hang address 0x00000000. Event-ID 1001: Fault bucket 798672315. Manchmal rappelt die Harddisk wie wild. Meist sofort nach dem Anschalten des Rechners, noch bevor man sich in einen Account eingeloggt hat. Kann aber auch zwischendurch passieren, wie zum Beispiel vor einer Stunde. Konnte nichts besonderes feststellen. Macht mich aber doch irgendwie nervös. Hab einen Screenshot gemacht vom Task Manager mit I/O Aktivität. Sagt mir aber nicht viel. War auch etwas zu spät, um zu sehen, welche Prozesse zum Zeitpunkt der heftigen Disk-Aktivität am meisten gelesen / geschrieben haben. Der Vollständigkeit halber: Code:
ATTFilter Rangfolge (Read Top 7) 1. avp.exe 2. swdsvc.exe 3. opera.exe 4. avgas.exe 5. guard.exe 6. svchost.exe 7. system Rangfolge (Write Top 7) 1. avp.exe 2. system 3. swdsvc.exe 4. opera.exe 5. svchost.exe 6. lsass 7. services.exe Last but not least: Hab im Logfile des Routers gesehen, dass es beim Incoming Traffic einen Eintrag gibt mit Portnummer 41879. Diese Portnummer tauchte gestern auch schon auf, aber mit ner anderen IP Adresse. Im Modem gibt es unzählige Einträge von Port 135, 137, 139, 445, etc, etc. Die werden aber zum Glück direkt vom Modem rausgefiltert. Habe keine Hinweise, dass diese den Rechner erreichen. So, ist mal wieder ein etwas längerer Beitrag geworden. Irgendwelche Ideen? Gruss, Mike |
30.06.2008, 17:40 | #7 |
/// Helfer-Team | Massenweise Sicherheitswarnungen von Kaspersky Hmm, vage Ideen, nur Möglichkeiten, keine Gewissheiten. 1. Was machen denn die Mitbenutzer derselben Leitung so im Netz? Ich nutze unter anderem ein Netz, dass von ein paar P2P-Nutzern total blockiert wurde. Die haben an ihren Emules und Torrents alles auf maximal hochgedreht, hatte zur Foge dass der Rest der Nutzer (die Mehrheit, einige Dutzend Nutzer in so einer Art Wohnheim mit Netzwerk) nichts mehr vom Internet hatten. Derzeit nutze ich ein anderes Netz mit weniger Computern, dafür auf fast allen Skype, kann mindestens ebenso sehr stressen. Nein noch mehr, dort war ich Admin und durfte was unternehmen, hier nicht. Wenn ich mir ansehe was Kaspersky alles macht, dann denke ich, dass das auch seine Zeit braucht. 2a. Hat sich damit wohl erledigt. 2b. Sieht ja eher nach Hardware/Stromversorgung aus. Strom-, eigentlich Spannungsschwankungen mögen natürlich auch Einfluß haben, die andere Seite ist aber auch ein Netzteil, das dafür empfindlich ist. Ein anderes Netzteil mag das vielleicht besser auszufiltern/auszugleichen. Das ist aber dann meistens auch nicht das billigste, wie es in Fertigrechnern von der Stange meistens ist. Einen Softwareschädling halte ich für weniger wahrscheinlich, normalerweise haben die alle einen Zweck, für den sie programmiert sind und dafür muss der Rechner laufen. Bei Fehlern können sie natürlich das System erledigen, dann erwarte ich aber im krassesten Fall einen Bluescreen. Diese Notwendigkeit des Steckziehenmüssens kann ich da nicht unterbringen. Die Eventlogs würde ich auf jeden Fall sorgfältig weiter beobachten. Z.B. darauf achten, ob dort auch mit anderen Anwendungen als Opera Probleme zu erkennen sind. 3. Hört sich auch nicht gut an. Erstmal chkdsk nutzen und mal das Dateisystem prüfen lassen. Unterhalb der logischen Ebene, auf physikalischer Ebene bietet sich dann Hdtune, Drive Fitness Test (etwas weiter untern auf der Seite, läuft auch mit den meisten Platten anderer Hersteller). Viele Plattenhersteller bieten weitere Testprogramme an. "Portnummer 41879" sagt mir so gerade nichts, ich weiß auch nicht auf welcher Seite der Verbindung dieser Port liegt. Falls nicht in den Router Löcher gebohrt wurden, sollte dieser von außen kommende Traffic aber auch die Antwort rausgegangener Anfrage sein. Dabei bedenken, dass nicht nur dein Computer in Frage kommt. "Port 135, 137, 139, 445, etc, etc" von Seiten des Internetes ist ganz normal. Da werden fleißig Freigaben gesucht (manche Leute haben ihr gesamtes System für das gesamte Internet freigegeben), Infektionsversuche gestartet, usw. Das sollte aber alles den Router nicht passieren. ----- Ich tendiere mehr in Richtung Hardware, kann dabei aber ein verborgenes Softwareproblem nicht auschließen. Es gibt eine Methode, mit der man da recht gut unterscheiden kann: platt machen und mit einem Minimum an wirklich wichtiger Software neu installieren. Alternativ kann der Betriebs eines Linux (z.B. Knoppix, das von CD startet, also nicht installiert werden muss) Probleme mit der Hardware aufzeigen. Ok, neu installieren ist vermutlich nicht deine große Freude, ein paar Rootkitscans: Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
Blacklight scannen lassen
Nun alle Logs posten. |
01.07.2008, 00:21 | #8 |
| Massenweise Sicherheitswarnungen von Kaspersky Ok, Karl Werde mich an die Arbeit machen und die Scans ausführen. Kann u.U. 'ne Weile dauern, werde dann die Ergebnisse posten. Rechner ist ca. Anfang des Jahres neu aufgesetzt worden; habe keine grosse Lust, das gleiche jetzt nochmals zu machen. Erst mal sehen, was rauskommt. Gruss, Mike |
06.07.2008, 08:54 | #9 |
| Massenweise Sicherheitswarnungen von Kaspersky Also, hier nun die Antworten / Ergebnisse 1. Andere Benutzer im Netz > Das kann sehr stark schwanken im Laufe des Tages. Erfahrungsgemäß ist die Belastung früh morgens oder spät nachts weniger groß, was sich am besseren Durchsatz an meinem PC (XP) zeigt. Allerdings haben die anderen immer noch ein akzeptables Internet, wenn sich bei mir gar nichts mehr tut. Der Laptop (Vista), der am selben Router hängt, tut dann meist auch noch. Das bleibt für mich ein Phänomen, denn wenn der Router sich z.B. schwer tun würde mit Datenübertragungsfehlern und sich in irgendeiner Ecke Müll ansammelt, müsste doch auch der Laptop darunter leiden, oder? Wenn sich alles 'festgefressen' hat und auch auf dem Laptop nichts mehr geht, wirk ein Reset (Aus / Ein) des Modems und des Routers meist Wunder. Das ist nicht immer von langer Dauer, aber für eine paar Minuten geht's dann halt doch wieder. Zur Info: habe Linksys AM300 Modem und Linksys WRT54G Wireless Router. 2. Netzteil. Nicht von der Stange; 350 W stabilisiert. Marke weiß ich nicht mehr. War in der Vergangenheit immer zuverlässig, aber Spannungsschwankungen haben die letzte Zeit zugenommen (subjektives Gefühl). 3a. Festplatten / Dateisystem. Guter Punkt. Habe Tests ausgeführt mit chkdsk, HDTune Pro und Drive Fitness Test. Keinerlei Fehlermeldungen. Habe allerdings gesehen, dass eine meiner Festplatten ('ne alte Maxtor 6Y160M0) recht warm ist: In der Ruhe ca. 55-58 Grad, bei Beanspruchung auch mal 65+ Grad. Das scheint mir sehr an der grenze zu sein, weiß allerdings auch nicht, was sie ab kann. Vielleicht sollte ich sie mal aufs Altenteil schicken und was Moderneres besorgen. Die Temperatur der anderen Festplatten liegt um die 45 Grad. 3b. Software Scans. Ging soweit alles glatt, bis auf die Tatsache, dass RootkitRevealer eine FAT32 Partition nicht lesen konnte. Habe gegoogelt und Hinweise bzgl. Namensgebung bei FAT32 Partitionen befolgt. Hat aber nichts genutzt. Eine andere FAT32 Partition mit ähnlichem Namensaufbau ist anstandslos gelesen worden. Außerdem habe ich meine Mühen gehabt, bei den Scans 'alle Programme' zu schließen. Habe mich letztendlich damit begnügt, die Anwendungen, die auf der Konsole zu sehen waren, zu beenden. Im Hintergrund liefen aber noch kleinere Routinen (z.B. was vom HP Drucker, etc), das ich dann gelassen habe. Hab auch ein paar scans gemacht im abgesicherten Modus; weiß aber nicht, ob das Posten davon weitere Einsicht bringen könnte. Hier nun also die Details, alles im vom User mit Admin-Rechten ausgeführt: Catchme Code:
ATTFilter Nichts gefunden; kein Log Code:
ATTFilter HKLM\SECURITY\Policy\Secrets\SAC* 24-11-07 23:58 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 24-11-07 23:58 0 bytes Key name contains embedded nulls (*) D: 01-01-01 08:00 0 bytes Error mounting volume Code:
ATTFilter 'No hidden items found'; kein Log Das GMER Resultat ist sehr umfangreich (ca. 400.000 Zeichen; kann aber nur 25.000 Zeichen posten). Hier ist ein Ausschnitt; dazwischen sind endlose Zeilen, die alle irgendiwe änlich aussehen, aber hier nun mal keinen Platz haben. Wie soll ich da das evtl. interessante vom nichtsagenden rausfinden? Code:
ATTFilter GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-07-06 08:42:01 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwClose [0xAF8321E0] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwConnectPort [0xAF8302F0] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateKey [0xAF823750] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwCreateProcess [0xAF831F10] … SSDT \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwSystemDebugControl [0xAF8301B0] SSDT \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys ZwTerminateProcess [0xF7A73812] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwUnloadKey [0xAF824550] SSDT \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ZwWriteVirtualMemory [0xAF832240] Code \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) FsRtlCheckLockForReadAccess Code \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) IoIsOperationSynchronous ---- Kernel code sections - GMER 1.0.14 ---- .text ntoskrnl.exe!ZwYieldExecution + 1FA 804E4A34 12 Bytes [ 50, FE, 82, AF, 90, 45, 82, ... ] .text ntoskrnl.exe!IoIsOperationSynchronous 804EAF7E 5 Bytes JMP AF834880 \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) .text ntoskrnl.exe!FsRtlCheckLockForReadAccess 804F3BF9 5 Bytes JMP AF834380 \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab) ---- User code sections - GMER 1.0.14 ---- ? C:\WINDOWS\system32\spoolsv.exe[276] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\WINDOWS\system32\ntvdm.exe[360] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\WINDOWS\system32\ntvdm.exe[360] C:\WINDOWS\system32\USER32.dll time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll ? C:\WINDOWS\system32\ntvdm.exe[360] C:\WINDOWS\system32\SHELL32.dll time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475" DESC_StartMenuAdminTools= "@shell32.dll,-30476" DESC_StartMenuSmallIcons= "@shell32.dll,-30477" DESC_SHOWCONTROLPANEL = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL DESC_FileFolder = "@shell32.dll,- ? C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe[464] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe[464] C:\WINDOWS\system32\USER32.dll time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll POWRPROF.dllunknown module: WINSTA.dll DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475" DESC_StartMenuAdminTools= "@shell32.dll,-30476" DESC_StartMenuSmallIcons= "@shell32.dll,-30477" DESC_SHOWCONTROLPANEL = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL DESC_FileFolder = "@shell32.dll,- ? C:\Tools\Gmer\gmer.exe[532] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\Tools\Gmer\gmer.exe[532] C:\WINDOWS\system32\USER32.DLL time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll ? C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[612] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[612] C:\WINDOWS\system32\USER32.dll time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll ? C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[612] C:\WINDOWS\system32\SHELL32.dll time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475" DESC_StartMenuAdminTools= "@shell32.dll,-30476" DESC_StartMenuSmallIcons= "@shell32.dll,-30477" DESC_SHOWCONTROLPANEL = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL DESC_FileFolder = "@shell32.dll,- ? C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe[748] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\WINDOWS\System32\svchost.exe[856] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\WINDOWS\system32\csrss.exe[1048] C:\WINDOWS\system32\KERNEL32.dll time/date stamp mismatch; unknown module: rasapi32.dll WINSTA.dll ? C:\WINDOWS\system32\services.exe[1128] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\WINDOWS\system32\lsass.exe[1140] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll DESC_SHOWCONTROLPANEL = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL DESC_FileFolder = "@shell32.dll,- ? C:\WINDOWS\system32\ctfmon.exe[1216] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\WINDOWS\system32\Ati2evxx.exe[1316] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\WINDOWS\System32\svchost.exe[1580] C:\WINDOWS\system32\USER32.dll time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll ? C:\WINDOWS\System32\svchost.exe[1580] C:\WINDOWS\system32\SHELL32.dll time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475" DESC_StartMenuAdminTools= "@shell32.dll,-30476" DESC_StartMenuSmallIcons= "@shell32.dll,-30477" DESC_SHOWCONTROLPANEL = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL DESC_FileFolder = "@shell32.dll,- ? C:\WINDOWS\System32\svchost.exe[1760] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\WINDOWS\System32\svchost.exe[1760] C:\WINDOWS\system32\USER32.dll time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll ? C:\WINDOWS\System32\svchost.exe[1760] C:\WINDOWS\system32\SHELL32.dll time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475" ? C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe[1868] C:\WINDOWS\system32\USER32.dll time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll ? C:\WINDOWS\system32\Ati2evxx.exe[1944] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe[2112] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\WINDOWS\system32\wscntfy.exe[2140] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\Program Files\Nikon\NkView6\NkvMon.exe[2212] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\WINDOWS\System32\alg.exe[2292] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475" DESC_StartMenuAdminTools= "@shell32.dll,-30476" DESC_StartMenuSmallIcons= "@shell32.dll,-30477" DESC_SHOWCONTROLPANEL = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL DESC_FileFolder = "@shell32.dll,- .text C:\WINDOWS\Explorer.EXE[2340] SHELL32.dll!StrStrW + FFE28B75 7C9C5128 4 Bytes [ 80, 00, 1E, 7D ] .text C:\WINDOWS\Explorer.EXE[2340] SHELL32.dll!StrStrW + FFE28B81 7C9C5134 4 Bytes [ F0, 00, 1E, 7D ] … .text C:\WINDOWS\Explorer.EXE[2340] SHELL32.dll!InternalExtractIconListA + 2037 7CA1CF98 4 Bytes [ 00, 0B, 1E, 7D ] .text C:\WINDOWS\Explorer.EXE[2340] SHELL32.dll!InternalExtractIconListA + 20F3 7CA1D054 4 Bytes [ 80, 07, 1E, 7D ] .text C:\WINDOWS\Explorer.EXE[2340] SHELL32.dll!SHGetSetFolderCustomSettingsW + F37 7CA1E144 4 Bytes [ 50, 0C, 1E, 7D ] ? C:\OPLIMIT\ocrawr32.exe[2780] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe[3812] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\Program Files\Common Files\Real\Update_OB\realsched.exe[3908] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ? C:\Program Files\Common Files\Real\Update_OB\realsched.exe[3908] C:\WINDOWS\system32\USER32.dll time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll ? C:\Program Files\Common Files\Real\Update_OB\realsched.exe[3908] C:\WINDOWS\system32\shell32.dll time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475" DESC_StartMenuAdminTools= "@shell32.dll,-30476" DESC_StartMenuSmallIcons= "@shell32.dll,-30477" DESC_SHOWCONTROLPANEL = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL DESC_FileFolder = "@shell32.dll,- ? C:\WINDOWS\System32\svchost.exe[4032] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT \SystemRoot\System32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] 8A0CBDC0 IAT \SystemRoot\System32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] 8A0CBDC0 IAT \SystemRoot\System32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\DRIVERS\arp1394.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \??\C:\WINDOWS\system32\Drivers\vmm.sys[NTOSKRNL.EXE!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\DRIVERS\USBSTOR.SYS[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\Drivers\Fastfat.SYS[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\DRIVERS\usbccgp.sys[NTOSKRNL.EXE!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\system32\drivers\kmixer.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 IAT \SystemRoot\System32\Drivers\HTTP.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10 ---- User IAT/EAT - GMER 1.0.14 ---- IAT C:\WINDOWS\system32\spoolsv.exe[276] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW] [7C883FD8] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation) IAT C:\WINDOWS\system32\spoolsv.exe[276] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW] [7C883FC4] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation) IAT C:\WINDOWS\system32\spoolsv.exe[276] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA] [7C883F9C] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation) IAT C:\WINDOWS\system32\spoolsv.exe[276] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [7C883FEC] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation) IAT C:\WINDOWS\system32\spoolsv.exe[276] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [7C883F9C] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation) IAT C:\WINDOWS\system32\spoolsv.exe[276] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW] [7C883FC4] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation) … IAT C:\WINDOWS\System32\svchost.exe[4032] @ C:\WINDOWS\System32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA] [7C883F9C] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation) IAT C:\WINDOWS\System32\svchost.exe[4032] @ C:\WINDOWS\System32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [7C883FEC] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation) ---- Devices - GMER 1.0.14 ---- AttachedDevice \FileSystem\Ntfs \Ntfs klif.sys (spuper-ptor/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \FileSystem\Fastfat \Fat klif.sys (spuper-ptor/Kaspersky Lab) ---- Threads - GMER 1.0.14 ---- Thread 4:552 8A1077D0 Thread 4:556 8A1077D0 Thread 4:560 8A0D8EB0 Thread 4:564 8A0D8EB0 Thread 4:568 8A0D8EB0 ---- EOF - GMER 1.0.14 ---- Mike |
Themen zu Massenweise Sicherheitswarnungen von Kaspersky |
ad-aware, administrator, adobe, askbar, avg, bho, computer, dll, drivers, explorer, fehlalarm, google, handel, helper, hijack, hijackthis, hkus\s-1-5-18, internet explorer, internet security, jusched.exe, kaspersky, logfile, microsoft, opera, pdf, problem, routine, rundll, security, software, windows, windows xp |