Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Massenweise Sicherheitswarnungen von Kaspersky

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 29.06.2008, 06:56   #1
Mike_1111
 
Massenweise Sicherheitswarnungen von Kaspersky - Standard

Massenweise Sicherheitswarnungen von Kaspersky



Hallo,

Ich habe ein seriöses Problem: Meine Internet-Verbindung ist instabil, der Rechner selbst wird immer instabiler und die Kaspersky Sicherheitssuite produziert Sicherheitswarnungen en Masse. Die meisten sind informativer Natur oder 'Gelbe Warnungen' doch nun erhalte ich hin und wieder auch 'Rote'.

Es gipfelt in Warnungen wie "Ein Treiber will die Kontrolle des gesamten Systems übernehmen". Hab den genauen Text nicht mehr im Kopf, aber es klang bedrohlich. Habe den Routine Namen in Google eingegeben und gesehen, dass es sich evtl. um einen Fehlalarm handelt. Will jetzt jedoch auf Nummer sicher gehen.

Kann bitte jemand mein Logfile checken? Die Ergebnisse der automatischen Auswertungen im Internet geben mir keine direkten Hinweis auf bösartigen Sachen.

Warscheinlich werdet ihr mir sagen, dass ich was Sicherheits-Zeug rausschmeissen soll, weil das sich evtl. gegenseitig behindert. Werde ich gerne tun, wenn sich der Rechner als definitiv sauber rausstellt.

Also, hier ist das Logfile:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:22:07, on 29-06-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\Program Files\Spyware Doctor\upgrade.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Tools\HiJackThis\HijackThis_202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://xx.xx.xx
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [VF0070 STISvc] RunDLL32.exe V0070Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - h**ps://support.microsoft.com/oas/ActiveX/MSDcode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195969262437
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA53CAD-E0CC-49FD-B4CC-49B4CE9BB6CF}: NameServer = 202.188.0.133,202.188.1.5
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Tools\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Tools\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7799 bytes
         
Hätte beinahe noch was vergessen:
Das obige Logfile ist vom Benutzerkonto mit reduzierten Rechten (was normalerweise benutzt wird). Daneben gibt's ja noch den Administrator Account. Wenn ich das Logfile auch posten soll, bitte sagen.


Vielen Dank schon mal!
Mike

Geändert von Mike_1111 (29.06.2008 um 07:14 Uhr) Grund: Hab was vergessen

Alt 29.06.2008, 08:15   #2
KarlKarl
/// Helfer-Team
 
Massenweise Sicherheitswarnungen von Kaspersky - Standard

Massenweise Sicherheitswarnungen von Kaspersky



Hi,

wäre ja gut gewesen, wenn Du die Details der Kaspesky-Meldungen hier auch reingesetzt hättest.

Dass das von einem eingeschränkten Konto aus gemacht wurde, sieht man im Log, diverse laufende Systemprozesse sind nicht aufgeführt. Ist extrem selten (maximal jedes hundertste). Wie Du schon weißt: Vielleicht etwas viel Software gleichzeitig, aber nichts was bedenklich wäre.

Es ist theoretisch denkbar, dass ein Rootkit im Spiel ist. Praktisch halte ich das aber für sehr unwahrscheinlich, das kann sich nicht vom eingeschränkten Konto aus installieren (Treiberinstallation braucht Adminrechte).

Wir sollten erstmal die Meldungen von Kspersky sichten um dann zu entscheiden ob es Sinn macht, dein System auseinanderzuscannen. Kaspersky schaut auf sehr viel bis alles ohne immer entscheiden zu können ob es normal oder böse ist. Da muss der Benutzer schon ein Spezialist sein um das dann für Kaspersky zu erledigen. Bloß die brauchen solche Security Sweets nicht, da liegt ein Widerspruch.

Gruß, Karl
__________________


Alt 29.06.2008, 09:22   #3
Mike_1111
 
Massenweise Sicherheitswarnungen von Kaspersky - Standard

Massenweise Sicherheitswarnungen von Kaspersky



Hi Karl,

Nun poste ich zuerstmal die Kaspersky Logfiles von heute. Alles unter dem eingeschränken User Account (mit einer Ausnahme am Ende). Dann folgt ein weiterer Beitrag mit dem HijackThis Log vom Admin Account (sonst wird der Text zu lang).

1. Kaspersky Log <Datenverwaltung><Berichte> Kategorie <Ereignisse>
Code:
ATTFilter
29-06-2008 07:26:13	Es wird empfohlen, den Computer vollständig auf Viren zu untersuchen.
29-06-2008 07:26:14	Schutz des Computers ist aktiv.
29-06-2008 07:26:14	Einige Schutzkomponenten wurden deaktiviert. Es wird empfohlen, sie wieder zu aktivieren.
29-06-2008 07:29:38	Der Versuch von Prozess  mit PID 652 Zugriff auf den Prozess Kaspersky Internet Security mit PID 676 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
29-06-2008 07:29:38	Der Versuch von Prozess  mit PID 652 Zugriff auf den Prozess Kaspersky Internet Security mit PID 3444 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
29-06-2008 07:29:39	Die geschützte Verbindung mit Server 213.236.208.60 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 07:29:41	Die geschützte Verbindung mit Server 61.6.65.197 auf Port 443 wurde nicht hergestellt. Name des Zertifikats astroview.astro.com.my.
29-06-2008 07:29:42	Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. Name des Zertifikats certs.opera.com.
29-06-2008 07:29:45	Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. Name des Zertifikats certs.opera.com.
29-06-2008 07:29:56	Die geschützte Verbindung mit Server 213.236.208.60 auf Port 443 wurde nicht hergestellt. Name des Zertifikats sitecheck2.opera.com.
29-06-2008 07:31:06	 Das Update wurde erfolgreich abgeschlossen
29-06-2008 07:31:10	Die geschützte Verbindung mit Server 61.6.65.197 auf Port 443 wurde nicht hergestellt. Name des Zertifikats astroview.astro.com.my.
29-06-2008 07:31:16	Die geschützte Verbindung mit Server 65.55.184.29 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 07:31:17	Ein inkorrektes Zertifikat von Server 65.55.184.29 wurde empfangen. Name des Zertifikats www.update.microsoft.com.
29-06-2008 07:31:34	Prozess C:\Program Files\Spyware Doctor\swdsvc.exe (PID: 3508): Versuch zum Eindringen in einen anderen Prozess erlaubt.
29-06-2008 07:31:35	Der Versuch von Prozess  mit PID 3508 Zugriff auf den Prozess Kaspersky Internet Security mit PID 676 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
29-06-2008 07:31:37	Der Versuch von Prozess  mit PID 3508 Zugriff auf den Prozess Kaspersky Internet Security mit PID 3444 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
29-06-2008 07:51:53	Prozess C:\WINDOWS\System32\svchost.exe (PID: 1588): verdächtige Aktion. Versuch zum Schreiben eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Wert Start Menu, Daten ).
29-06-2008 07:51:53	Prozess C:\WINDOWS\System32\svchost.exe (PID: 1588): Versuch zum Schreiben eine Auswahl von Modulen, die beim Hochfahren des Computers geladen werden, (Schlüssel HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Wert Start Menu, Daten ) wurde blockiert.
29-06-2008 08:25:05	Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 08:25:05	Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats mit dem Namen pop.gmail.com auf Viren untersucht.
29-06-2008 09:26:31	Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 09:26:31	Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats mit dem Namen pop.gmail.com auf Viren untersucht.
29-06-2008 09:31:26	Die geschützte Verbindung mit Server 65.55.13.126 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 09:31:27	Ein inkorrektes Zertifikat von Server 65.55.13.126 wurde empfangen. Name des Zertifikats www.update.microsoft.com.
29-06-2008 09:47:23	 Das Update wurde erfolgreich abgeschlossen
29-06-2008 10:27:25	Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 10:27:26	Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats mit dem Namen pop.gmail.com auf Viren untersucht.
29-06-2008 11:15:54	Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 11:15:59	Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. Name des Zertifikats certs.opera.com.
29-06-2008 11:16:03	Die geschützte Verbindung mit Server 61.6.65.197 auf Port 443 wurde nicht hergestellt. Name des Zertifikats astroview.astro.com.my.
29-06-2008 11:16:11	Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. Name des Zertifikats certs.opera.com.
29-06-2008 11:16:13	Die geschützte Verbindung mit Server 61.6.65.197 auf Port 443 wurde nicht hergestellt. Name des Zertifikats astroview.astro.com.my.
29-06-2008 11:22:22	Die geschützte Verbindung mit Server 213.236.208.60 auf Port 443 wird durch den Austausch des Zertifikats mit dem Namen sitecheck2.opera.com auf Viren untersucht.
29-06-2008 11:22:44	Die geschützte Verbindung mit Server 213.236.208.60 auf Port 443 wurde nicht hergestellt.
29-06-2008 11:31:39	Die geschützte Verbindung mit Server 65.55.13.190 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 11:31:41	Ein inkorrektes Zertifikat von Server 65.55.13.190 wurde empfangen. Name des Zertifikats www.update.microsoft.com.
29-06-2008 11:56:15	Die geschützte Verbindung mit Server 61.6.65.197 auf Port 443 wird durch den Austausch des Zertifikats mit dem Namen astroview.astro.com.my auf Viren untersucht.
29-06-2008 11:58:10	Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 11:59:44	Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt.
29-06-2008 11:59:56	Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. Name des Zertifikats certs.opera.com.
29-06-2008 12:00:43	Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt.
29-06-2008 12:00:46	Die geschützte Verbindung mit Server 213.236.208.94 auf Port 443 wurde nicht hergestellt. Name des Zertifikats certs.opera.com.
29-06-2008 12:07:43	 Das Update wurde erfolgreich abgeschlossen
29-06-2008 12:09:50	Die geschützte Verbindung mit Server 64.4.241.65 auf Port 443 wurde nicht hergestellt. Name des Zertifikats www.paypal.com.
29-06-2008 12:10:07	Die geschützte Verbindung mit Server 64.4.241.65 auf Port 443 wird durch den Austausch des Zertifikats mit dem Namen www.paypal.com auf Viren untersucht.
29-06-2008 12:16:26	Prozess C:\WINDOWS\system32\WISPTIS.EXE, gefunden: potentiell gefährliche Software 'Invader (loader)' (Modifikation).
29-06-2008 12:16:35	Prozess C:\WINDOWS\system32\WISPTIS.EXE (PID: 3740): Versuch zum Ausführen verdächtiger Aktionen erlaubt.
29-06-2008 12:24:31	Prozess C:\WINDOWS\system32\WISPTIS.EXE, gefunden: potentiell gefährliche Software 'Invader (loader)' (Modifikation).
29-06-2008 12:24:34	Prozess C:\WINDOWS\system32\WISPTIS.EXE (PID: 3740): Versuch zum Ausführen verdächtiger Aktionen erlaubt.
29-06-2008 12:31:49	Die geschützte Verbindung mit Server 65.55.192.61 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 12:31:50	Ein inkorrektes Zertifikat von Server 65.55.192.61 wurde empfangen. Name des Zertifikats www.update.microsoft.com.
29-06-2008 13:32:03	Die geschützte Verbindung mit Server 65.55.184.253 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 13:32:04	Ein inkorrektes Zertifikat von Server 65.55.184.253 wurde empfangen. Name des Zertifikats www.update.microsoft.com.
29-06-2008 13:42:14	Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 13:42:16	Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats mit dem Namen pop.gmail.com auf Viren untersucht.
29-06-2008 14:23:59	Die geschützte Verbindung mit Server 213.236.208.60 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 14:24:00	Die geschützte Verbindung mit Server 213.236.208.60 auf Port 443 wird durch den Austausch des Zertifikats mit dem Namen sitecheck2.opera.com auf Viren untersucht.
29-06-2008 14:24:01	Die geschützte Verbindung mit Server 65.173.218.96 auf Port 443 wurde nicht hergestellt. Name des Zertifikats *.sans.org.
29-06-2008 14:24:11	Die geschützte Verbindung mit Server 65.173.218.96 auf Port 443 wird durch den Austausch des Zertifikats mit dem Namen *.sans.org auf Viren untersucht.
29-06-2008 14:26:46	Ein inkorrektes Zertifikat von Server 209.85.171.97 wurde empfangen. Name des Zertifikats *.google-analytics.com.
29-06-2008 14:27:26	 Das Update wurde erfolgreich abgeschlossen
29-06-2008 14:28:48	Ein inkorrektes Zertifikat von Server 209.85.171.97 wurde empfangen. Name des Zertifikats *.google-analytics.com.
29-06-2008 14:43:45	Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 14:43:46	Die geschützte Verbindung mit Server 209.85.201.111 auf Port 995 wird durch den Austausch des Zertifikats mit dem Namen pop.gmail.com auf Viren untersucht.
29-06-2008 15:20:23	Der Versuch von Prozess  mit PID 1712 Zugriff auf den Prozess Kaspersky Internet Security mit PID 676 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
29-06-2008 15:32:16	Die geschützte Verbindung mit Server 65.55.192.126 auf Port 443 wird durch den Austausch des Zertifikats auf Viren untersucht.
29-06-2008 15:32:17	Ein inkorrektes Zertifikat von Server 65.55.192.126 wurde empfangen. Name des Zertifikats www.update.microsoft.com.

Admin Account:

29-06-2008 15:42:00	Prozess C:\OPLIMIT\OCRAWR32.EXE, gefunden: potentiell gefährliche Software 'Invader (loader)' (Modifikation).
29-06-2008 15:42:08	Prozess C:\OPLIMIT\OCRAWR32.EXE (PID: 1676): Versuch zum Ausführen verdächtiger Aktionen erlaubt.
29-06-2008 15:42:09	Der Versuch von Prozess  mit PID 652 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2184 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.

User Account:

29-06-2008 15:48:53	Der Versuch von Prozess  mit PID 652 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2272 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
         
2. Kaspersky Log <Datenverwaltung><Berichte> Kategorie <Gefunden>

Code:
ATTFilter
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\Explorer.EXE
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\services.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\winlogon.exe
gefunden: potentiell gefährliche Software Invader	Prozess: \SystemRoot\System32\smss.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\winlogon.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\ntvdm.exe
gefunden: potentiell gefährliche Software Invader (loader)	Prozess: C:\OPLIMIT\OCRAWR32.EXE
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\svchost.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\userinit.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\explorer.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Opera\Opera.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpzpre04.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\cygwin\_ct scripts for backups\rsyncStart_H_on_F_v1.bat
gefunden: potentiell gefährliche Software Invader	Prozess: C:\cygwin\_ct scripts for backups\rsyncStart_D_on_G_v1.bat
gefunden: potentiell gefährliche Software Invader	Prozess: C:\cygwin\_ct scripts for backups\rsyncbackup_D_on_G_v1.vbs
gefunden: potentiell gefährliche Software Invader	Prozess: C:\cygwin\_ct scripts for backups\rsyncStart_G_on_E_v1.bat
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Skype\Phone\Skype.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\cygwin\_ct scripts for backups\rsyncStart_F_on_G_v1.bat
gefunden: potentiell gefährliche Software Invader	Prozess: C:\cygwin\_ct scripts for backups\rsyncbackup_F_on_G_v1.vbs
gefunden: potentiell gefährliche Software Invader	Prozess: C:\cygwin\_ct scripts for backups\rsyncbackup_E_on_HK_v1.vbs
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\PC_Coach\users\Admin_Account\PC Coach\pccoach.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Real\RealPlayer\realplay.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Tools\ERUNT\AUTOBACK.EXE
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Mozilla Firefox\firefox.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Common Files\Real\Update_OB\realsched.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Ahead\Nero PhotoSnap\PhotoSnapViewer.exe
gelöscht: Adware not-a-virus:AdWare.Win32.MegaSearch.s	Datei: D:\_Backup_old_PC\###C\Program Files\Common Files\Real\Toolbar\realbar.dll
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Microtek\ScanWizard 5\ScanWizard5.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\hphmon03.exe
gefunden: potentiell gefährliche Software Invader	Prozess: Q:\Welcome.exe
gefunden: potentiell gefährliche Software Invader	Prozess: Q:\ViewNX\DISK1\setup.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriver.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\wuauclt.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\msiexec.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\cygwin\_ct scripts for backups\rsyncStart_C_on_E_v1.bat
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Common Files\Microsoft Shared\DW\DW20.EXE
gefunden: potentiell gefährliche Software Invader	Prozess: C:\cygwin\_ct scripts for backups\rsyncbackup_H_on_F_v1.vbs
gefunden: potentiell gefährliche Software Invader	Prozess: C:\cygwin\_ct scripts for backups\rsyncbackup_G_on_E_v1.vbs
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztbx04.exe
gefunden: potentiell gefährliche Software Invader	Prozess: Q:\Redist\LASU\LULnchr.exe
gefunden: potentiell gefährliche Software Invader	Prozess: Q:\Drivers\Bin\setup.exe
gefunden: potentiell gefährliche Software Invader	Prozess: Q:\Redist\LDM\setup.exe
gefunden: potentiell gefährliche Software Invader	Prozess: Q:\Redist\LDM\bw\LDMClient.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Tools\HiJackThis\HijackThis_202.exe
gefunden: potentiell gefährliche Software Invader (loader)	Prozess: C:\WINDOWS\system32\ntvdm.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Spyware Doctor\SDTrayApp.exe
gelöscht: Adware not-a-virus:AdWare.Win32.MegaSearch.s	Datei: D:\System Volume Information\_restore{45714452-73DC-4699-8FC3-18E6C65908A3}\RP279\A0140724.dll
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\XoftSpySE\XoftSpy.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLED.EXE
gelöscht: Adware not-a-virus:AdWare.Win32.MegaSearch.s	Datei: D:\System Volume Information\_restore{45714452-73DC-4699-8FC3-18E6C65908A3}\RP288\A0148342.dll
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Spyware Doctor\Update.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\rundll32.exe
gefunden: potentiell gefährliche Software Invader	Prozess: D:\My Documents (DoBe)\_DATA\Sources\Programs\Opera\Opera_950_en_Setup.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\dumprep.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\cygwin\_ct scripts for backups\rsyncStart_D_on_F_v1.bat
gefunden: potentiell gefährliche Software Invader	Prozess: C:\cygwin\_ct scripts for backups\rsyncbackup_D_on_F_v1.vbs
gefunden: potentiell gefährliche Software Invader	Prozess: R:\Welcome.exe
gefunden: potentiell gefährliche Software Invader	Prozess: R:\ViewNX\DISK1\setup.exe
gefunden: potentiell gefährliche Software Invader	Prozess: R:\PictureControlUtility\DISK1\setup.exe
gefunden: potentiell gefährliche Software Invader	Prozess: R:\MFC80\vcredist_x86.exe
gefunden: potentiell gefährliche Software Invader	Prozess: R:\NkMC\setup.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Opera\opera.exe
gefunden: potentiell gefährliche Software Invader	Prozess: D:\My Documents (User_Account)\_DATA\Sources\Programs\IrfanView\iview410_setup.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\WINDOWS\system32\taskmgr.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Real Alternative\mpclauncher.exe
gefunden: potentiell gefährliche Software Invader	Prozess: D:\My Documents (User_Account)\_DATA\Sources\Programs\PhotoMe\PhotoME079R16Setup.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Documents and Settings\Admin_Account\Local Settings\Temp\is-1PVKK.tmp\PhotoME079R16Setup.tmp
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\PhotoME\update.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\PhotoME\photome.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Documents and Settings\User_Account\Local Settings\Temp\Temporary Directory 1 for NV627.zip\EN\Disk1\Setup.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Common Files\InstallShield\Engine\6\Intel 32\IKernel.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Nikon\NkView6\NkvBrows.exe
gefunden: potentiell gefährliche Software Invader	Prozess: C:\Program Files\Nikon\NkView6\NkvView.exe
gefunden: potentiell gefährliche Software Invader (loader)	Prozess: C:\WINDOWS\system32\WISPTIS.EXE
         
>>>>> Der Rest kommt in folgenden Beitrag .....
__________________

Alt 29.06.2008, 09:24   #4
Mike_1111
 
Massenweise Sicherheitswarnungen von Kaspersky - Standard

Massenweise Sicherheitswarnungen von Kaspersky



... und nun der versprochene Rest:


3. HijackThis Log vom Admin Account:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:42:51, on 29-06-08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\hphmon03.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\System32\HPHipm09.exe
C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\OPLIMIT\ocrawr32.exe
C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE
C:\Tools\HiJackThis\HijackThis_202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://xx.xx.xx
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://xx.xx.xx
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [VF0070 STISvc] RunDLL32.exe V0070Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Tools\HiJackThis\HijackThis.exe /startupscan
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ERUNT AutoBackup.lnk = C:\Tools\ERUNT\AUTOBACK.EXE
O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE
O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://download.windowsupdate.com
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - h**ps://support.microsoft.com/oas/ActiveX/MSDcode.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1195969262437
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA53CAD-E0CC-49FD-B4CC-49B4CE9BB6CF}: NameServer = 202.188.0.133,202.188.1.5
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Tools\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Tools\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8883 bytes
         
Hoffe, das hilft etwas weiter ...

Gruss, Mike

Alt 29.06.2008, 19:16   #5
KarlKarl
/// Helfer-Team
 
Massenweise Sicherheitswarnungen von Kaspersky - Standard

Massenweise Sicherheitswarnungen von Kaspersky



Oha, da liegen mir jetzt einige nicht ganz saubere Ausdrückre auf der Zunge ...

Ich kann in den Logs nichts gefährliches entdecken, dafür aber eine Mengen Sachen, die klar belegen, dass bei Kaspersky nicht gerade die geballte Kompetenz vorliegt:

Zitat:
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\Explorer.EXE
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\services.exe
gefunden: potentiell gefährliche Software Invader Prozess: C:\WINDOWS\system32\winlogon.exe
Nur drei Beispiele, das geht so weiter. Vielleicht erklärt ja mal jemand dieser Company, dass das wesentliche Teile des Betriebssystems sind. Die einführung so einer Art Whitelist wäre schon mal was. Anscheinend ist man dort der Auffassung dass jede Software ein "potentiell gefährliche Software Invader Prozess" ist.

Zitat:
Ein inkorrektes Zertifikat von Server 65.55.192.126 wurde empfangen. Name des Zertifikats www .update .microsoft .com.
Wäre natürlich zu prüfen, ob das Zertifikat wirklich inkorrekt ist, so aber frage ich mich ob dadurch nicht am Ende die Windowsupdates verhindert werden.

Das ist ein typisches Beispiel für den Widerspruch mit diesen Ich-kümmer-mich-um-alles-Security-Sweets: Sie sind konzipiert für Leute, die von Computer- und Netzwerktechnik weniger bis keine Ahnung haben, um sie dann aber zu verstehen muss man Ahnung haben. dann aber wieder braucht man diese Software nicht mehr, weil man genau weiß dass man seinen Computer auch ohne sie sicher nutzen kann. Ich habe höchsten die freie Version von Antivir und die Wndows Firewall. Damit betreibe ich mein Notebook seit längerer Zeit an teilweise krass verseuchten Netzen, musste auch schon Modem nutzen, dennoch wäre Antivir überflüssig, bisher keinen Ernstfall gehabt, dafür müsste ja bereits was auf den Rechner vorgedrungen sein. Allerdings stecke ich eine Menge Mühe rein, andauernd Updates zu installieren, was schon nerven kann. Eben mal 120 MByte wegen eines Sicherheitsproblems in OpenOffice neu runterladen ist hier auch nicht gerade eine Freude.

Was die Instabilität deines Systems angeht: Da empfehle ich erstmal unter der Software aufzuräumen. Eventuell wird dabei auch die Internetverbindung wieder besser, bei der wäre aber auch zu prüfen, ob nicht externe Gründe möglich sind. Teilst Du die Internetverbindung mit anderen Nutzern? Wie sind deren Erfahrungen? Was betreiben die an Netzwerksoftware? Hier, wo ich gerade schreibe, wird nachher nichts mehr gehen, wenn sie alle mit Skype loslegen. Woran zeigt sich die Instabilität? Gibt es Bluescreens oder sind es mehr nur einzelne Programme die abstürzen?

Weiterhin überblicke ich nicht, was Kaspersky macht wenn er meint ein schlechtes Zertifikat entdeckt zu haben. Ich kann mich erinnern, dass es bei einem Konkurrenzprodukt möglich war, auf einen bestimmten Port einen Ping zu schicken und dann hat die Software den Rechner komplett von Netzwerk/Internet getrennt. Sicher sehr sicher, aber durch Steckerziehen einfacher zu haben.


Geändert von KarlKarl (29.06.2008 um 19:26 Uhr)

Alt 30.06.2008, 16:41   #6
Mike_1111
 
Massenweise Sicherheitswarnungen von Kaspersky - Standard

Massenweise Sicherheitswarnungen von Kaspersky



Lass mich mal versuchen, auf die Fragen näher einzugehen:

1. Internetstabilität
Häufig kleckern die bits hier nur sehr zögerlich rein, auch wenn z.B. die Nachbarn, die an der selben Leitung hängen oder der Laptop, der am selben Router hängt keine Probleme haben.

Manchmal versiegt der Datenfluss völlig, was natürchlich auch an der schlechten Bandbreite liegen kann bzw. einer evtl. hohen Fehlerrate bei der Übertragung zum ISP. So genau habe ich das noch nicht rauskriegen können, aber die Erfahrung zeigt, dass dieser Rechner sich besonders schwer tut.

2. Rechnerstabilität
(a) Hat sich z.T. wieder gebessert. War extrem schlecht, nachdem ich eine neue WebCam installiert hatte (Logitech Quick Cam 9000). Mehrmals täglich waren Eingaben nicht mehr möglich; der Bildschirm war eingefroren und der Rechner musste neu gestartet werden. Habe Hinweise gefunden, dass ich nicht der einzige bin mit Problemen mit dieser WebCam und habe die Software wieder de-installiert. Nur die Treiber gelassen. Seitdem ist der Rechner nicht mehr eingefroren.

(b) Hin und wieder crasht der Rechner aus heiterem Himmel. Das sieht dann so aus , als hätte jemand den Netzstecker gezogen. Lässt sich auch nicht wieder ohne weiteres einschalten. Mann muss dann wirklich den Stecker mal kurz rausziehen. Dann lässt er sich wieder einschalten und er fährt normal hoch. Das könnte evtl. an kurzzeitigen Stromschwankungen liegen, oder? Ist früher allerdings nie passiert und nun schon zum x-ten Male innerhalb einer Woche. Könnte das Hinweise geben auf irgendeinen Software-Schädling?

Habe nochmals alle Eventlogs in Windows gecheckt. Kann nichts ungewöhnliches feststellen. Oder gibt das hier Hinweise:

Code:
ATTFilter
Event-ID 1000:
Faulting application opera.exe, version 9.50.10063.0, faulting module ntdll.dll, version 5.1.2600.2180, fault address 0x00010f29.

Event-ID 1002:
Hanging application opera.exe, version 9.50.10063.0, hang module hungapp, version 0.0.0.0, hang address 0x00000000.

Event-ID 1001:
Fault bucket 798672315.
         
3. Andere Symptome
Manchmal rappelt die Harddisk wie wild. Meist sofort nach dem Anschalten des Rechners, noch bevor man sich in einen Account eingeloggt hat. Kann aber auch zwischendurch passieren, wie zum Beispiel vor einer Stunde. Konnte nichts besonderes feststellen. Macht mich aber doch irgendwie nervös. Hab einen Screenshot gemacht vom Task Manager mit I/O Aktivität. Sagt mir aber nicht viel. War auch etwas zu spät, um zu sehen, welche Prozesse zum Zeitpunkt der heftigen Disk-Aktivität am meisten gelesen / geschrieben haben. Der Vollständigkeit halber:

Code:
ATTFilter
Rangfolge (Read Top 7)
1. avp.exe
2. swdsvc.exe
3. opera.exe
4. avgas.exe
5. guard.exe
6. svchost.exe
7. system

Rangfolge (Write Top 7)
1. avp.exe
2. system
3. swdsvc.exe
4. opera.exe
5. svchost.exe
6. lsass
7. services.exe
         

Last but not least: Hab im Logfile des Routers gesehen, dass es beim Incoming Traffic einen Eintrag gibt mit Portnummer 41879. Diese Portnummer tauchte gestern auch schon auf, aber mit ner anderen IP Adresse.

Im Modem gibt es unzählige Einträge von Port 135, 137, 139, 445, etc, etc. Die werden aber zum Glück direkt vom Modem rausgefiltert. Habe keine Hinweise, dass diese den Rechner erreichen.

So, ist mal wieder ein etwas längerer Beitrag geworden.

Irgendwelche Ideen?

Gruss, Mike

Alt 30.06.2008, 17:40   #7
KarlKarl
/// Helfer-Team
 
Massenweise Sicherheitswarnungen von Kaspersky - Standard

Massenweise Sicherheitswarnungen von Kaspersky



Hmm, vage Ideen, nur Möglichkeiten, keine Gewissheiten.

1. Was machen denn die Mitbenutzer derselben Leitung so im Netz? Ich nutze unter anderem ein Netz, dass von ein paar P2P-Nutzern total blockiert wurde. Die haben an ihren Emules und Torrents alles auf maximal hochgedreht, hatte zur Foge dass der Rest der Nutzer (die Mehrheit, einige Dutzend Nutzer in so einer Art Wohnheim mit Netzwerk) nichts mehr vom Internet hatten. Derzeit nutze ich ein anderes Netz mit weniger Computern, dafür auf fast allen Skype, kann mindestens ebenso sehr stressen. Nein noch mehr, dort war ich Admin und durfte was unternehmen, hier nicht.

Wenn ich mir ansehe was Kaspersky alles macht, dann denke ich, dass das auch seine Zeit braucht.

2a. Hat sich damit wohl erledigt.

2b. Sieht ja eher nach Hardware/Stromversorgung aus. Strom-, eigentlich Spannungsschwankungen mögen natürlich auch Einfluß haben, die andere Seite ist aber auch ein Netzteil, das dafür empfindlich ist. Ein anderes Netzteil mag das vielleicht besser auszufiltern/auszugleichen. Das ist aber dann meistens auch nicht das billigste, wie es in Fertigrechnern von der Stange meistens ist. Einen Softwareschädling halte ich für weniger wahrscheinlich, normalerweise haben die alle einen Zweck, für den sie programmiert sind und dafür muss der Rechner laufen. Bei Fehlern können sie natürlich das System erledigen, dann erwarte ich aber im krassesten Fall einen Bluescreen. Diese Notwendigkeit des Steckziehenmüssens kann ich da nicht unterbringen.

Die Eventlogs würde ich auf jeden Fall sorgfältig weiter beobachten. Z.B. darauf achten, ob dort auch mit anderen Anwendungen als Opera Probleme zu erkennen sind.

3. Hört sich auch nicht gut an. Erstmal chkdsk nutzen und mal das Dateisystem prüfen lassen. Unterhalb der logischen Ebene, auf physikalischer Ebene bietet sich dann Hdtune, Drive Fitness Test (etwas weiter untern auf der Seite, läuft auch mit den meisten Platten anderer Hersteller). Viele Plattenhersteller bieten weitere Testprogramme an.

"Portnummer 41879" sagt mir so gerade nichts, ich weiß auch nicht auf welcher Seite der Verbindung dieser Port liegt. Falls nicht in den Router Löcher gebohrt wurden, sollte dieser von außen kommende Traffic aber auch die Antwort rausgegangener Anfrage sein. Dabei bedenken, dass nicht nur dein Computer in Frage kommt.

"Port 135, 137, 139, 445, etc, etc" von Seiten des Internetes ist ganz normal. Da werden fleißig Freigaben gesucht (manche Leute haben ihr gesamtes System für das gesamte Internet freigegeben), Infektionsversuche gestartet, usw. Das sollte aber alles den Router nicht passieren.

-----

Ich tendiere mehr in Richtung Hardware, kann dabei aber ein verborgenes Softwareproblem nicht auschließen. Es gibt eine Methode, mit der man da recht gut unterscheiden kann: platt machen und mit einem Minimum an wirklich wichtiger Software neu installieren. Alternativ kann der Betriebs eines Linux (z.B. Knoppix, das von CD startet, also nicht installiert werden muss) Probleme mit der Hardware aufzeigen.

Ok, neu installieren ist vermutlich nicht deine große Freude, ein paar Rootkitscans:

Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
  • nichts am Rechner getan werden
  • nach jedem Scan der Rechner neu gestartet werden
Gmer scannen lassen
  • Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.
Catchme scannen lassen
  • Lade dir Catchme runter auf deinen Desktop.
  • Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
  • Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
  • Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.
RootkitRevealer scannen lassen
  • Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
  • Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
  • Starte durch Klick auf "Scan".
  • Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Blacklight scannen lassen
  • Lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
  • Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
  • Klicke "I accept the agreement", "next", "Scan".
  • wenn der Scan zuende ist, wähle "Close".
  • Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis, anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten. Den Inhalt dieser Datei bitte posten.

Nun alle Logs posten.

Alt 01.07.2008, 00:21   #8
Mike_1111
 
Massenweise Sicherheitswarnungen von Kaspersky - Standard

Massenweise Sicherheitswarnungen von Kaspersky



Ok, Karl

Werde mich an die Arbeit machen und die Scans ausführen. Kann u.U. 'ne Weile dauern, werde dann die Ergebnisse posten.

Rechner ist ca. Anfang des Jahres neu aufgesetzt worden; habe keine grosse Lust, das gleiche jetzt nochmals zu machen. Erst mal sehen, was rauskommt.

Gruss, Mike

Alt 06.07.2008, 08:54   #9
Mike_1111
 
Massenweise Sicherheitswarnungen von Kaspersky - Standard

Massenweise Sicherheitswarnungen von Kaspersky



Also, hier nun die Antworten / Ergebnisse

1. Andere Benutzer im Netz
> Das kann sehr stark schwanken im Laufe des Tages. Erfahrungsgemäß ist die Belastung früh morgens oder spät nachts weniger groß, was sich am besseren Durchsatz an meinem PC (XP) zeigt. Allerdings haben die anderen immer noch ein akzeptables Internet, wenn sich bei mir gar nichts mehr tut. Der Laptop (Vista), der am selben Router hängt, tut dann meist auch noch. Das bleibt für mich ein Phänomen, denn wenn der Router sich z.B. schwer tun würde mit Datenübertragungsfehlern und sich in irgendeiner Ecke Müll ansammelt, müsste doch auch der Laptop darunter leiden, oder?

Wenn sich alles 'festgefressen' hat und auch auf dem Laptop nichts mehr geht, wirk ein Reset (Aus / Ein) des Modems und des Routers meist Wunder. Das ist nicht immer von langer Dauer, aber für eine paar Minuten geht's dann halt doch wieder. Zur Info: habe Linksys AM300 Modem und Linksys WRT54G Wireless Router.

2. Netzteil. Nicht von der Stange; 350 W stabilisiert. Marke weiß ich nicht mehr. War in der Vergangenheit immer zuverlässig, aber Spannungsschwankungen haben die letzte Zeit zugenommen (subjektives Gefühl).

3a. Festplatten / Dateisystem. Guter Punkt. Habe Tests ausgeführt mit chkdsk, HDTune Pro und Drive Fitness Test. Keinerlei Fehlermeldungen. Habe allerdings gesehen, dass eine meiner Festplatten ('ne alte Maxtor 6Y160M0) recht warm ist: In der Ruhe ca. 55-58 Grad, bei Beanspruchung auch mal 65+ Grad. Das scheint mir sehr an der grenze zu sein, weiß allerdings auch nicht, was sie ab kann. Vielleicht sollte ich sie mal aufs Altenteil schicken und was Moderneres besorgen. Die Temperatur der anderen Festplatten liegt um die 45 Grad.

3b. Software Scans. Ging soweit alles glatt, bis auf die Tatsache, dass RootkitRevealer eine FAT32 Partition nicht lesen konnte. Habe gegoogelt und Hinweise bzgl. Namensgebung bei FAT32 Partitionen befolgt. Hat aber nichts genutzt. Eine andere FAT32 Partition mit ähnlichem Namensaufbau ist anstandslos gelesen worden.

Außerdem habe ich meine Mühen gehabt, bei den Scans 'alle Programme' zu schließen. Habe mich letztendlich damit begnügt, die Anwendungen, die auf der Konsole zu sehen waren, zu beenden. Im Hintergrund liefen aber noch kleinere Routinen (z.B. was vom HP Drucker, etc), das ich dann gelassen habe. Hab auch ein paar scans gemacht im abgesicherten Modus; weiß aber nicht, ob das Posten davon weitere Einsicht bringen könnte. Hier nun also die Details, alles im vom User mit Admin-Rechten ausgeführt:

Catchme
Code:
ATTFilter
Nichts gefunden; kein Log
         
RootkitRevealer
Code:
ATTFilter
HKLM\SECURITY\Policy\Secrets\SAC*	24-11-07 23:58	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	24-11-07 23:58	0 bytes	Key name contains embedded nulls (*)
D:	01-01-01 08:00	0 bytes	Error mounting volume
         
F-Secure-Blacklight
Code:
ATTFilter
'No hidden items found'; kein Log
         
Gmer
Das GMER Resultat ist sehr umfangreich (ca. 400.000 Zeichen; kann aber nur 25.000 Zeichen posten). Hier ist ein Ausschnitt; dazwischen sind endlose Zeilen, die alle irgendiwe änlich aussehen, aber hier nun mal keinen Platz haben. Wie soll ich da das evtl. interessante vom nichtsagenden rausfinden?

Code:
ATTFilter
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-07-06 08:42:01
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT    \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)   ZwClose [0xAF8321E0]
SSDT    \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)   ZwConnectPort [0xAF8302F0]
SSDT    \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)   ZwCreateKey [0xAF823750]
SSDT    \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)   ZwCreateProcess [0xAF831F10]

…

SSDT    \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)   ZwSystemDebugControl [0xAF8301B0]
SSDT    \??\C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys    ZwTerminateProcess [0xF7A73812]
SSDT    \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)   ZwUnloadKey [0xAF824550]
SSDT    \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)   ZwWriteVirtualMemory [0xAF832240]

Code    \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)   FsRtlCheckLockForReadAccess
Code    \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)   IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.14 ----

.text   ntoskrnl.exe!ZwYieldExecution + 1FA    804E4A34 12 Bytes  [ 50, FE, 82, AF, 90, 45, 82, ... ]
.text   ntoskrnl.exe!IoIsOperationSynchronous  804EAF7E 5 Bytes  JMP AF834880 \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)
.text   ntoskrnl.exe!FsRtlCheckLockForReadAccess   804F3BF9 5 Bytes  JMP AF834380 \??\C:\WINDOWS\System32\drivers\klif.sys (spuper-ptor/Kaspersky Lab)

---- User code sections - GMER 1.0.14 ----

?   C:\WINDOWS\system32\spoolsv.exe[276] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\WINDOWS\system32\ntvdm.exe[360] C:\WINDOWS\system32\kernel32.dll    time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\WINDOWS\system32\ntvdm.exe[360] C:\WINDOWS\system32\USER32.dll  time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?   C:\WINDOWS\system32\ntvdm.exe[360] C:\WINDOWS\system32\SHELL32.dll time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475"
DESC_StartMenuAdminTools= "@shell32.dll,-30476"
DESC_StartMenuSmallIcons= "@shell32.dll,-30477"
DESC_SHOWCONTROLPANEL   = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL
DESC_FileFolder = "@shell32.dll,-
?   C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe[464] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe[464] C:\WINDOWS\system32\USER32.dll    time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
POWRPROF.dllunknown module: WINSTA.dll
DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475"
DESC_StartMenuAdminTools= "@shell32.dll,-30476"
DESC_StartMenuSmallIcons= "@shell32.dll,-30477"
DESC_SHOWCONTROLPANEL   = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL
DESC_FileFolder = "@shell32.dll,-
?   C:\Tools\Gmer\gmer.exe[532] C:\WINDOWS\system32\kernel32.dll   time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\Tools\Gmer\gmer.exe[532] C:\WINDOWS\system32\USER32.DLL time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?   C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[612] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[612] C:\WINDOWS\system32\USER32.dll    time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?   C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE[612] C:\WINDOWS\system32\SHELL32.dll   time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475"
DESC_StartMenuAdminTools= "@shell32.dll,-30476"
DESC_StartMenuSmallIcons= "@shell32.dll,-30477"
DESC_SHOWCONTROLPANEL   = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL
DESC_FileFolder = "@shell32.dll,-
?   C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe[748] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\WINDOWS\System32\svchost.exe[856] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\WINDOWS\system32\csrss.exe[1048] C:\WINDOWS\system32\KERNEL32.dll   time/date stamp mismatch; unknown module: rasapi32.dll
WINSTA.dll
?   C:\WINDOWS\system32\services.exe[1128] C:\WINDOWS\system32\kernel32.dll    time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\WINDOWS\system32\lsass.exe[1140] C:\WINDOWS\system32\kernel32.dll   time/date stamp mismatch; unknown module: rasapi32.dll
DESC_SHOWCONTROLPANEL   = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL
DESC_FileFolder = "@shell32.dll,-
?   C:\WINDOWS\system32\ctfmon.exe[1216] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\WINDOWS\system32\Ati2evxx.exe[1316] C:\WINDOWS\system32\kernel32.dll    time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\WINDOWS\System32\svchost.exe[1580] C:\WINDOWS\system32\USER32.dll   time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?   C:\WINDOWS\System32\svchost.exe[1580] C:\WINDOWS\system32\SHELL32.dll  time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475"
DESC_StartMenuAdminTools= "@shell32.dll,-30476"
DESC_StartMenuSmallIcons= "@shell32.dll,-30477"
DESC_SHOWCONTROLPANEL   = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL
DESC_FileFolder = "@shell32.dll,-
?   C:\WINDOWS\System32\svchost.exe[1760] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\WINDOWS\System32\svchost.exe[1760] C:\WINDOWS\system32\USER32.dll   time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?   C:\WINDOWS\System32\svchost.exe[1760] C:\WINDOWS\system32\SHELL32.dll  time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475"
?   C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe[1868] C:\WINDOWS\system32\USER32.dll    time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?   C:\WINDOWS\system32\Ati2evxx.exe[1944] C:\WINDOWS\system32\kernel32.dll    time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe[2112] C:\WINDOWS\system32\kernel32.dll    time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\WINDOWS\system32\wscntfy.exe[2140] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\Program Files\Nikon\NkView6\NkvMon.exe[2212] C:\WINDOWS\system32\kernel32.dll   time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\WINDOWS\System32\alg.exe[2292] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll
module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475"
DESC_StartMenuAdminTools= "@shell32.dll,-30476"
DESC_StartMenuSmallIcons= "@shell32.dll,-30477"
DESC_SHOWCONTROLPANEL   = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL
DESC_FileFolder = "@shell32.dll,-
.text   C:\WINDOWS\Explorer.EXE[2340] SHELL32.dll!StrStrW + FFE28B75   7C9C5128 4 Bytes  [ 80, 00, 1E, 7D ]
.text   C:\WINDOWS\Explorer.EXE[2340] SHELL32.dll!StrStrW + FFE28B81   7C9C5134 4 Bytes  [ F0, 00, 1E, 7D ]

…

.text   C:\WINDOWS\Explorer.EXE[2340] SHELL32.dll!InternalExtractIconListA + 2037  7CA1CF98 4 Bytes  [ 00, 0B, 1E, 7D ]
.text   C:\WINDOWS\Explorer.EXE[2340] SHELL32.dll!InternalExtractIconListA + 20F3  7CA1D054 4 Bytes  [ 80, 07, 1E, 7D ]
.text   C:\WINDOWS\Explorer.EXE[2340] SHELL32.dll!SHGetSetFolderCustomSettingsW + F37  7CA1E144 4 Bytes  [ 50, 0C, 1E, 7D ]
?   C:\OPLIMIT\ocrawr32.exe[2780] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe[3812] C:\WINDOWS\system32\kernel32.dll   time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\Program Files\Common Files\Real\Update_OB\realsched.exe[3908] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch; unknown module: rasapi32.dll
?   C:\Program Files\Common Files\Real\Update_OB\realsched.exe[3908] C:\WINDOWS\system32\USER32.dll    time/date stamp mismatch; unknown module: MSIMG32.dllunknown module: POWRPROF.dllunknown module: WINSTA.dll
?   C:\Program Files\Common Files\Real\Update_OB\realsched.exe[3908] C:\WINDOWS\system32\shell32.dll   time/date stamp mismatch; unknown module: WINMM.dllunknown module: msi.dllunknown module: DEVMGR.DLLunknown module: urlmon.dllunknown module: OLEAUT32.dllunknown module: OLEACC.dllunknown module: VERSION.dllunknown module: MPR.dllunknown module: CSCDLL.dllunknown module: UxTheme.dllunknown module: credui.dllunknown module: RASAPI32.dllunknown module: MSGINA.dllunknown module: POWRPROF.dllunknown module: SHDOCVW.dllunknown module: BROWSEUI.dllunknown module: EFSADU.dllunknown module: LINKINFO.dllunknown module: MSIMG32.dllunknown module: DUSER.dllunknown module: PRINTUI.dllunknown module: CdfView.dllunknown module: SETUPAPI.dllunknown module: appHelp.dllunknown module: query.dllunknown module: gdiplus.dllunknown module: IMM32.dllunknown module: msvcrt.dllunknown module: shell32.dll,-30475"
DESC_StartMenuAdminTools= "@shell32.dll,-30476"
DESC_StartMenuSmallIcons= "@shell32.dll,-30477"
DESC_SHOWCONTROLPANEL   = "@shell32.dll,-30497" ; IDS_ADV_FOLDER_SHOWCONTROLPANEL
DESC_FileFolder = "@shell32.dll,-
?   C:\WINDOWS\System32\svchost.exe[4032] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; unknown module: rasapi32.dll

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\System32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice]    8A0CBD10
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]    8A0CBDC0
IAT \SystemRoot\System32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice]    8A0CBD10
IAT \SystemRoot\System32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice]    8A0CBD10
IAT \SystemRoot\System32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]    8A0CBDC0
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice]   8A0CBD10
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice]  8A0CBD10
IAT \SystemRoot\System32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice]  8A0CBD10
IAT \SystemRoot\System32\DRIVERS\arp1394.sys[ntoskrnl.exe!IoCreateDevice]  8A0CBD10
IAT \??\C:\WINDOWS\system32\Drivers\vmm.sys[NTOSKRNL.EXE!IoCreateDevice]   8A0CBD10
IAT \SystemRoot\System32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice]    8A0CBD10
IAT \SystemRoot\System32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice]   8A0CBD10
IAT \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice] 8A0CBD10
IAT \SystemRoot\System32\DRIVERS\USBSTOR.SYS[ntoskrnl.exe!IoCreateDevice]  8A0CBD10
IAT \SystemRoot\System32\Drivers\Fastfat.SYS[ntoskrnl.exe!IoCreateDevice]  8A0CBD10
IAT \SystemRoot\System32\DRIVERS\usbccgp.sys[NTOSKRNL.EXE!IoCreateDevice]  8A0CBD10
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[ntoskrnl.exe!IoCreateDevice]  8A0CBD10
IAT \SystemRoot\System32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice]   8A0CBD10
IAT \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice]   8A0CBD10
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice]  8A0CBD10
IAT \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice]   8A0CBD10
IAT \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10
IAT \SystemRoot\system32\drivers\kmixer.sys[ntoskrnl.exe!IoCreateDevice]   8A0CBD10
IAT \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice] 8A0CBD10
IAT \SystemRoot\System32\Drivers\HTTP.sys[ntoskrnl.exe!IoCreateDevice] 8A0CBD10

---- User IAT/EAT - GMER 1.0.14 ----

IAT C:\WINDOWS\system32\spoolsv.exe[276] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryExW]  [7C883FD8] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation)
IAT C:\WINDOWS\system32\spoolsv.exe[276] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryW]    [7C883FC4] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation)
IAT C:\WINDOWS\system32\spoolsv.exe[276] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!LoadLibraryA]    [7C883F9C] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation)
IAT C:\WINDOWS\system32\spoolsv.exe[276] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [7C883FEC] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation)
IAT C:\WINDOWS\system32\spoolsv.exe[276] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA]  [7C883F9C] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation)
IAT C:\WINDOWS\system32\spoolsv.exe[276] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW]  [7C883FC4] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation)

…

IAT C:\WINDOWS\System32\svchost.exe[4032] @ C:\WINDOWS\System32\WS2HELP.dll [KERNEL32.dll!LoadLibraryA]    [7C883F9C] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[4032] @ C:\WINDOWS\System32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]  [7C883FEC] C:\WINDOWS\system32\kernel32.dll (Windows NT BASE API Client DLL/Microsoft Corporation)

---- Devices - GMER 1.0.14 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs klif.sys (spuper-ptor/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Ip   kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Tcp  kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Udp  kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp    kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \FileSystem\Fastfat \Fat   klif.sys (spuper-ptor/Kaspersky Lab)

---- Threads - GMER 1.0.14 ----

Thread  4:552  8A1077D0
Thread  4:556  8A1077D0
Thread  4:560  8A0D8EB0
Thread  4:564  8A0D8EB0
Thread  4:568  8A0D8EB0

---- EOF - GMER 1.0.14 ----
         
So, das war ein hartes Stück Arbeit. Hoffentlich ist es zu was nutze.

Mike

Antwort

Themen zu Massenweise Sicherheitswarnungen von Kaspersky
ad-aware, administrator, adobe, askbar, avg, bho, computer, dll, drivers, explorer, fehlalarm, google, handel, helper, hijack, hijackthis, hkus\s-1-5-18, internet explorer, internet security, jusched.exe, kaspersky, logfile, microsoft, opera, pdf, problem, routine, rundll, security, software, windows, windows xp




Ähnliche Themen: Massenweise Sicherheitswarnungen von Kaspersky


  1. Telekom-Rechnung geöffnet - massenweise Spammails verschickt
    Log-Analyse und Auswertung - 26.11.2014 (7)
  2. Startseite "istart.websearches.com" und massenweise fenster öffnen sich
    Plagegeister aller Art und deren Bekämpfung - 23.07.2014 (5)
  3. Verdacht auf Torpig: Mit MBAM massenweise Maleware u.ä. gefunden nach "Sinkhole-Warnung" des Providers
    Plagegeister aller Art und deren Bekämpfung - 01.12.2013 (9)
  4. Massenweise Viren werden in Windows/Temp erstellt (Tr/Crypt.xpack.Gen3+TR/Crypt.Pepn.Gen und andere)
    Plagegeister aller Art und deren Bekämpfung - 08.10.2010 (6)
  5. Kaspersky CBE
    Antiviren-, Firewall- und andere Schutzprogramme - 05.10.2010 (1)
  6. Kaspersky
    Antiviren-, Firewall- und andere Schutzprogramme - 06.08.2009 (6)
  7. Massenweise Virenattacke
    Log-Analyse und Auswertung - 24.11.2008 (1)
  8. Massenweise Virenattacke
    Mülltonne - 22.11.2008 (0)
  9. Ist Kaspersky tot
    Mülltonne - 23.10.2008 (0)
  10. Kaspersky 7.0
    Antiviren-, Firewall- und andere Schutzprogramme - 30.08.2008 (1)
  11. Windows Sicherheitswarnungen
    Antiviren-, Firewall- und andere Schutzprogramme - 27.08.2008 (1)
  12. werbung und sicherheitswarnungen
    Plagegeister aller Art und deren Bekämpfung - 31.07.2008 (1)
  13. Werbung auf dem Bildschirm, fingierte Sicherheitswarnungen - hier mein logfile
    Log-Analyse und Auswertung - 29.12.2005 (4)
  14. Kaspersky 5.0.388
    Antiviren-, Firewall- und andere Schutzprogramme - 08.09.2005 (3)
  15. Kaspersky
    Antiviren-, Firewall- und andere Schutzprogramme - 20.03.2005 (16)
  16. Kaspersky ------ KEY
    Plagegeister aller Art und deren Bekämpfung - 27.03.2003 (4)
  17. Kaspersky AV
    Alles rund um Windows - 07.01.2003 (5)

Zum Thema Massenweise Sicherheitswarnungen von Kaspersky - Hallo, Ich habe ein seriöses Problem: Meine Internet-Verbindung ist instabil, der Rechner selbst wird immer instabiler und die Kaspersky Sicherheitssuite produziert Sicherheitswarnungen en Masse. Die meisten sind informativer Natur oder - Massenweise Sicherheitswarnungen von Kaspersky...
Archiv
Du betrachtest: Massenweise Sicherheitswarnungen von Kaspersky auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.