|
Log-Analyse und Auswertung: GESUCHT: Hilfe beim Logfile-LesenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
02.07.2008, 15:32 | #1 |
| GESUCHT: Hilfe beim Logfile-Lesen Hallo, ich habe bisher keine Probleme mit Viren etc gehabt. (Zumindest habe ich und mein Antivir nichts gemerkt ) Doch letzte Woche wurde ich Opfer meiner Unachsamkeit. Falsches Feld beim Virenscanner Antivir geklickt und schon wars um meinen PC geschehen. System: Windows XP Media Center SP2 Virenscanner: Anivir Der Antivir hatte auch super angeschlagen und mir einen Trojaner bescheinigt (Name ???). Nun versuchte ich selbst die Dateien zu finden und teilweise gelang mir das auch. Dann bin ich heute nochmal mit den Vorgehensweisen die hier immer beschrieben werden drüber gegangen. Ich habe das ungute Gefühl da ist noch viel über gblieben was auf meinem PC rumspukt. Vorgehensweise 1. CCleaner 2. AVZ --> siehe Logfile 3. Hijack --> siehe Logfile Frage: Ist da jetzt noch was auf dem PC oder bin ich clean AVZ Log und AVZ CSV Log siehe unter: h**p://m1de.champusspeicher.de/avz.html Hijack Log Code:
ATTFilter C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\21_03_02_Lokale_Access_Assistenten_Formular\Lokale_Access_Assistenten\obj\Debug\TempPE\My Project.Resources.Designer.vb;3;PE file with non-standard extension(dangerousness level is 5%) C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\24_03_Create_Database_Table_SQLServer\Create_Database_SQLServer_TSQL\obj\Debug\TempPE\My Project.Resources.Designer.vb;3;PE file with non-standard extension(dangerousness level is 5%) C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\25_03_01_GetSchemaTable_OleDb_SQLClient\GetSchemaTable_OleDb_SQLClient\obj\Debug\TempPE\My Project.Resources.Designer.v;3;PE file with non-standard extension(dangerousness level is 5%) C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\bin\Debug\Wedienst_Client_PasswortGenerator.e;3;PE file with non-standard extension(dangerousness level is 5%) C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\bin\Debug\Wedienst_Client_PasswortGenerator.v;3;PE file with non-standard extension(dangerousness level is 5%) C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\obj\Debug\Wedienst_Client_PasswortGenerator.e;3;PE file with non-standard extension(dangerousness level is 5%) C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_06_WebdienstClient_GlobalWeather\Webdienst_Client_GlobalWeather\obj\Debug\TempPE\My Project.Resources.Designer.vb.d;3;PE file with non-standard extension(dangerousness level is 5%) C:\Programme\MWAV\mexe.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\Programme\MWAV\MWAVSCAN.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\Installer\495f38.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920) C:\WINDOWS\Installer\4c256.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920) C:\WINDOWS\Installer\de41c.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\WINDOWS\Installer\f390e8.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeeDesktopShortcu_F99F74B4972B4B06B8936B3B0DB0128B.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeePMShortcut_F99F74B4972B4B06B8936B3B0DB0128B.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ARPPRODUCTICON.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920) C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ACDSeeDesktopShortcu_AE80641A0C8D4670A518B4EC154B1027.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920) C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ACDSeePMShortcut_AE80641A0C8D4670A518B4EC154B1027.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920) C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ARPPRODUCTICON.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920) C:\WINDOWS\system32\chcp.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\diskcomp.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\diskcopy.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\edit.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\format.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\graftabl.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\mode.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\more.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\shdocvw.bak;3;PE file with non-standard extension(dangerousness level is 5%) C:\WINDOWS\system32\T.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\TASKMGR.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\tree.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\win.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%) C:\WINDOWS\system32\winspool.drv;5;Suspicion for Keylogger or Trojan DLL C:\WINDOWS\system32\RICHED32.DLL;5;Suspicion for Keylogger or Trojan DLL C:\WINDOWS\system32\ntshrui.dll;5;Suspicion for Keylogger or Trojan DLL D:\autorun.inf;3; HSC: suspicion for hidden autorun (high degree of probability) D:\Autorun.exe;3; HSC: suspicion for hidden autorun D:\autorun.inf [Autorun\Open] m1de |
02.07.2008, 18:00 | #2 | |
| GESUCHT: Hilfe beim Logfile-LesenZitat:
Desweiteren lasse Malwarebytes sowie SUPERAntiSpyware scannen. Reports danach posten. |
03.07.2008, 01:19 | #3 |
| GESUCHT: Hilfe beim Logfile-Lesen Sorry, dass ich mich da ein bischen in den Logfiles vertan habe. Ich denke, ich weiß nun, dass mein System definitiv noch verseucht ist. Kann man da trotzdem durch gezielte Maßnahmen noch was regeln?
__________________zur Info, ich habe nochmal nu einen kompletten Durchlauf mehrerer Programme gestartet und erstmal keine Dateien löchen lassen, um nciht die Ergebnisse der nachfolgenden Programme zu verässern. Die Logfiles habe ich wie gewohnt uf eine ebsite gestellt, da sie insgesamt für hier zu lang wären. Leider muss dort noch die Dateiendung geändert werden. Link zu den Logfiles: h**p://m1de.champusspeicher.de/avz.html den Hijackthisfile pote ich hier trotzdem nochmal: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:35:36, on 02.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\explorer.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\XPclean5\Regwarner.exe C:\WINDOWS\system32\ctfmon.exe c:\programme\a-squared free\a2service.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: (no name) - AutorunsDisabled - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {35218E2A-1C45-46FE-829B-8415790B0210} - C:\WINDOWS\system32\jkkKdeEv.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file) O2 - BHO: (no name) - {6FA2421A-54B1-4B69-A19E-5BC2FA9D096F} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [DNS7reminder] "C:\Programme\NaturallySpeaking9\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance\NaturallySpeaking9\Ereg.ini O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [DisplayFusion] "C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine Downloads\Dual Monitor\DisplayFusion.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: MultiMon Taskbar.lnk = C:\Programme\MMTaskbar\MultiMon.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.targa.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138717820890 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144585369421 O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\ O20 - Winlogon Notify: jkkKdeEv - C:\WINDOWS\SYSTEM32\jkkKdeEv.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - (no file) O24 - Desktop Component 1: (no name) - (no file) O24 - Desktop Component 2: (no name) - (no file) -- End of file - 9072 bytes mfg, M1de |
03.07.2008, 08:40 | #4 | ||
/// AVZ-Toolkit Guru | GESUCHT: Hilfe beim Logfile-Lesen Hallöle. Auf der Seite Zitat:
Lade die logs bitte bei rapidshare hoch und poste den direkt Link hier. Fixe mit HJT bitte folgende Einträge: Zitat:
Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter Folders to delete: C:\Programme\XPclean5
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
03.07.2008, 12:00 | #5 |
| GESUCHT: Hilfe beim Logfile-Lesen Hallo und Danke für die ersten hilfe-Anätze. Du hattest recht, die Bereitstellung der Logfiles war zu umständlich. Sorry dafür. Ich habe aber mit Rapidhare nix am hut und habe mir deshalb erlaubt, die Logfiles als Plain-Text auf meine Seite ( h**p://m1de.champusspeicher.de/avz.html )zu schreiben. Dann kann man sie direkt lesen oder mit STRG+C rauskopieren. Ich hoffe das ist auch akzeptabel, denn immerhin möchte ich ja von euch geholfen bekommen. In der wischenzeit werde ich mal mit Hijack die angegebenen Stellen fixen. Bis dann, m1de |
03.07.2008, 13:07 | #6 |
| GESUCHT: Hilfe beim Logfile-Lesen ZUSATZ: Ich wollte eben mit dem Registry-Editor ein paar Einträge löschen, die mir ja angzeigt wurden. Doch der Regedit ließ sich nicht starten. Ich habe dann mit Eingabeauforderung nach der Datei gesucht und festgestellt, dass diese und viele andere in C:\Windows und \System32 doppelt oder wie im Fall Regdi erstetzt sind. Die Doppelte oder Ersatzdatei hat dann noch zusätzlich die Endung ZOTTEL. Beispiel: taskmgr.exe.zottel oder explorer.exe und explorer.exe.zottel in einem Verzeichnis. Was kann das sein und wie mache ich es am Besten rückgängig? In den ganzen Logiles wurde ja nicht einmal sowas angezeigt!? Grüße, m1de |
Themen zu GESUCHT: Hilfe beim Logfile-Lesen |
.dll, antivir, autorun.inf, b.exe, center, code, dateien, einstellungen, gesucht, hijack, keylogger, launch, media, media center, nichts, probleme, programme, scan, scanner, super, system32, trojaner, viren, virenscanner, windows, windows xp |