Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Windows Security Alert

Windows Security Alert


Log-Analyse und Auswertung: Windows Security Alert

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 01.10.2008, 03:24   #1
41catraz
 
Windows Security Alert - Standard

Windows Security Alert


Hallo!!

Ich hab zwar schon gesehen, dass viele das gleiche Problem hatten, aber offensichtlich hat es nicht bei jedem die gleiche Ursache. Deshalb hab ich in die FAQ geschaut und dort gelesen, dass man mit Hilfe des Programms HijackThis das System auswerten lassen soll, und dann das Log-File hier posten soll. Ich habe leider nicht so viel Ahnung davon um es selbst auszuwerten, da würde ich mein System wahrscheinlich nur noch mehr ruinieren, deshalb dieser Weg.
Nun zum eigentlichen Problem:

Ich kriege in unregelmäßigen Abständen, also alle 5-30 Minuten eine Warnung von der Windows-Firewall, was mich schonmal sehr verwundert, da diese eigentlich deaktiviert ist. In diesen Warnungen werden mir verschiedene vermeindliche Trojaner genannt, wie
Trojan-Clicker.Win32.Tiny.h
Trojan-Spy.Win32.GreenScreen

und mir wird angeboten ganz tolle Sowtware zu kaufen, die das ganze richten soll. Das ganze habe ich dann gegoogelt und bin auf dieses Forum gestoßen. Nun habe ich HijackThis mein System überprüfen lassen und hoffe, dass mir jemand bei der Auswertung helfen kann.

Hier also das Log-File:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:49:47, on 01.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\jyxcfmxk.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
F:\Tools\Sicherheit\HiJackThis.exe
C:\WINDOWS\system32\jyxcfmxk.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA8715] command /c del "C:\WINDOWS\system32\smp\msrc.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4345] cmd /c del "C:\WINDOWS\system32\smp\msrc.exe"
O4 - HKCU\..\Run: [InfoUiEn] C:\WINDOWS\system32\jyxcfmxk.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB181] command /c del "C:\WINDOWS\system32\smp\msrc.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD4924] cmd /c del "C:\WINDOWS\system32\smp\msrc.exe"
O4 - HKLM\..\Policies\Explorer\Run: [cCNaL151vH] F:\Tools\Guitar Pro 5\Guitar.Pro.5.2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153754625156
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O21 - SSODL: dbchkapl - {1A3EB253-1090-DA57-557C-06CE27F92EAD} - C:\Programme\odjdprf\dbchkapl.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4618 bytes
Ich hoffe ich habe keinen Link oder Namen übersehen, der da nicht reingehört.
Sollte ich etwas falsch gemacht haben bitte ich um Entschuldigung und einen kurzen Hinweis.
Vielen Dank schonmal im Voraus!!!!


Gruß Alcatraz

Alt 01.10.2008, 12:45   #2
Sunny
Administrator
> Competence Manager
 
Windows Security Alert - Standard

Windows Security Alert


Hallo 41catraz und




Das sieht nach einer klassischen Vundo-Infektion aus, daher folgende Schritte durchführen:




Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
C:\Programme\odjdprf\dbchkapl.dll
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!



ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________

__________________
Alt 02.10.2008, 08:44   #3
41catraz
 
Windows Security Alert - Standard

Windows Security Alert


Erstmal vielen, vielen Dank für die schnelle Antwort!!!!

VirusTotal zur dbchkapl.dll:
Code:
ATTFilter
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.10.2.0	2008.10.02	-
AntiVir	7.8.1.34	2008.10.01	-
Authentium	5.1.0.4	2008.10.02	-
Avast	4.8.1248.0	2008.10.01	Win32:PureMorph
AVG	8.0.0.161	2008.10.01	-
BitDefender	7.2	2008.10.02	-
CAT-QuickHeal	9.50	2008.10.01	-
ClamAV	0.93.1	2008.10.02	-
DrWeb	4.44.0.09170	2008.10.02	-
eSafe	7.0.17.0	2008.10.01	-
eTrust-Vet	31.6.6121	2008.10.02	-
Ewido	4.0	2008.10.01	-
F-Prot	4.4.4.56	2008.09.30	-
F-Secure	8.0.14332.0	2008.10.02	Trojan.Win32.Obfuscated.gx
Fortinet	3.113.0.0	2008.10.02	-
GData	19	2008.10.02	Win32:PureMorph
Ikarus	T3.1.1.34.0	2008.10.02	Virus.Trojan.Win32.Obfuscated.gx
K7AntiVirus	7.10.479	2008.10.01	-
Kaspersky	7.0.0.125	2008.10.02	Trojan.Win32.Obfuscated.gx
McAfee	5396	2008.10.02	-
Microsoft	1.4005	2008.10.02	-
NOD32	3488	2008.10.02	-
Norman	5.80.02	2008.10.01	-
Panda	9.0.0.4	2008.10.02	-
PCTools	4.4.2.0	2008.10.01	-
Prevx1	V2	2008.10.02	-
Rising	20.63.62.00	2008.09.28	Packer.Win32.Mian007.a
SecureWeb-Gateway	6.7.6	2008.10.02	-
Sophos	4.34.0	2008.10.02	Mal/EncPk-DG
Sunbelt	3.1.1668.1	2008.09.24	-
Symantec	10	2008.10.02	-
TheHacker	6.3.0.9.098	2008.10.01	-
TrendMicro	8.700.0.1004	2008.10.02	-
VBA32	3.12.8.6	2008.10.02	-
ViRobot	2008.10.1.1402	2008.10.02	-
VirusBuster	4.5.11.0	2008.10.01	-
weitere Informationen
File size: 126976 bytes
MD5...: 7fe31005c6bd589127cbe50e7466f544
SHA1..: d90b6395353273a0216ce06fd5bd10d57cd28110
SHA256: 9bac6d1a77ba82081cbecc9c9ff210b02fc17fbd7ce8e83fd9400e9c74278f68
SHA512: e32c0682e7c92231c1e6cb8b3b2289791b69cdebe6be13be43d310cdfcff894e
a213b9b33aecd244d8a2fdb3b9379e5e8810f0424bb209a766e4e682a9750f04
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000db73
timedatestamp.....: 0x48e1f9a4 (Tue Sep 30 10:04:20 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.vklwst 0x1000 0x19864 0x1a000 6.85 5aeac75eebfeb6bf0c1e0aa01430fc7f
.urilkx 0x1b000 0x453 0x1000 1.91 0606c04676e6cf8dd233e0c91ddad682
.zzrpff 0x1c000 0x1f60 0x1000 0.51 948e7d598cfe65aecc7486996777064b
.reloc 0x1e000 0x193c 0x2000 5.99 b4cdd0534c37ded4f7b937fbb99bfc36

( 2 imports )
> KERNEL32.dll: InterlockedDecrement, FreeResource, FindFirstChangeNotificationW, LoadLibraryA, ReadFile, InterlockedIncrement, GlobalDeleteAtom, CreateProcessW, FreeLibrary, GetCurrentThreadId, MoveFileW, ResumeThread, MultiByteToWideChar, SetThreadPriority, LockResource, LoadResource, LoadLibraryW, CloseHandle, DeleteFileW, GetFileAttributesW, GetProcAddress
> GDI32.dll: GetObjectW, CreateBitmap, CreateRoundRectRgn, MoveToEx, CreateFontIndirectW, SetBkMode, CreateDCW, GetClipBox, CreateSolidBrush, CreateCompatibleBitmap, CreateCompatibleDC

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Und das Combofix-Logfile:
Code:
ATTFilter
ComboFix 08-10-01.02 - *** 2008-10-02  2:15:02.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.270 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MCHINJDRV


(((((((((((((((((((((((   Dateien erstellt von 2008-09-02 bis 2008-10-02  ))))))))))))))))))))))))))))))
.

2008-10-02 02:08 . 2008-10-02 02:08	<DIR>	d----c---	C:\Programme\CCleaner
2008-10-01 03:23 . 2008-10-01 03:23	<DIR>	d----c---	C:\Programme\Enigma Software Group
2008-09-30 13:21 . 2008-09-30 13:21	355,584	--a--c---	C:\WINDOWS\system32\TuneUpDefragService.exe
2008-09-30 13:21 . 2008-05-17 14:56	28,416	--a--c---	C:\WINDOWS\system32\uxtuneup.dll
2008-09-30 13:17 . 2008-09-30 13:17	<DIR>	d----c---	C:\Programme\odjdprf
2008-09-30 13:17 . 2008-09-30 13:17	<DIR>	d----c---	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mbqxqxuf
2008-09-30 13:17 . 2008-09-30 13:17	<DIR>	d----c---	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jkxeterw
2008-09-30 13:16 . 2008-09-30 13:16	94,208	--a--c---	C:\WINDOWS\system32\jyxcfmxk.exe
2008-09-23 20:06 . 2008-10-02 00:22	<DIR>	d----c---	C:\Dokumente und Einstellungen\***\Anwendungsdaten\HLSW

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-02 00:11	---------	dc----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-01 18:06	---------	dc----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-01 01:25	---------	dc----w	C:\Programme\exen
2008-09-30 17:18	---------	dc----w	C:\Programme\Spybot - Search & Destroy
2008-09-30 11:21	---------	dc----w	C:\Programme\TuneUp Utilities 2008
2008-09-29 12:39	---------	dc----w	C:\Programme\mIRC
2008-09-23 10:43	---------	dc----w	C:\Programme\ICQ6
2008-09-03 15:42	---------	dc----w	C:\Programme\Messenger Plus! Live
2008-08-26 20:06	---------	dc----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-08-26 12:27	---------	dc----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\mIRC
2007-12-22 17:22	53,400	-c--a-w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((((   snapshot@2008-10-02_ 1.58.38.54   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-01 13:53:03	74,996	----a-w	C:\WINDOWS\system32\perfc007.dat
+ 2008-10-02 00:10:13	74,996	----a-w	C:\WINDOWS\system32\perfc007.dat
- 2008-10-01 13:53:03	62,344	----a-w	C:\WINDOWS\system32\perfc009.dat
+ 2008-10-02 00:10:13	62,344	----a-w	C:\WINDOWS\system32\perfc009.dat
- 2008-10-01 13:53:03	415,470	----a-w	C:\WINDOWS\system32\perfh007.dat
+ 2008-10-02 00:10:13	415,470	----a-w	C:\WINDOWS\system32\perfh007.dat
- 2008-10-01 13:53:03	401,064	----a-w	C:\WINDOWS\system32\perfh009.dat
+ 2008-10-02 00:10:13	401,064	----a-w	C:\WINDOWS\system32\perfh009.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"dbchkapl"= {1A3EB253-1090-DA57-557C-06CE27F92EAD} - C:\Programme\odjdprf\dbchkapl.dll [2008-09-30 126976]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= divxa32.acm
"VIDC.MJPG"= Pvmjpg30.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.VP31"= vp31vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Screen Saver Control.lnk]
backup=C:\WINDOWS\pss\Screen Saver Control.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMK08KB
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICE4DMOUSE
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]
--a--c--- 2007-08-30 13:19 87392 C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a--c--- 2008-07-17 20:23 266497 C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a--c--- 2004-08-04 00:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a--c--- 2005-11-09 00:00 128920 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C84 Series]
--a--c--- 2003-09-12 03:00 99840 C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0D2.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a--c--- 2008-09-01 17:08 173304 C:\PROGRA~1\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InfoUiEn]
--a--c--- 2008-09-30 13:16 94208 C:\WINDOWS\system32\jyxcfmxk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
--a--c--- 2004-03-11 00:26 406016 C:\WINDOWS\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a--c--- 2006-07-24 17:58 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a--c--- 2004-11-02 20:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-----c--- 2008-08-18 18:41 1832272 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyHunter Security Suite]
--a--c--- 2008-09-10 17:16 864256 C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a--c--- 2006-11-10 12:35 90112 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a--c--- 2008-03-30 21:29 1271032 D:\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a--c--- 2005-06-03 03:52 36975 C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
--a--c--- 2007-10-30 19:45 1885464 C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpeedUpMyPC]
--a--c--- 2007-12-07 10:42 9479448 C:\Programme\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra--c--- 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
--a--c--- 2007-06-13 21:17 26112 C:\WINDOWS\system32\Ati2mdxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
-----c--- 2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a--c--- 2007-01-23 15:44 101136 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a--c--- 2007-01-23 15:44 101136 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a--c--- 2005-11-11 14:07 90112 C:\WINDOWS\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"StarWindService"=2 (0x2)
"MDM"=2 (0x2)
"iPodService"=3 (0x3)
"IDriverT"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"NVSvc"=2 (0x2)
"ATI Smart"=2 (0x2)
"aawservice"=2 (0x2)
"usnjsvc"=3 (0x3)
"ServiceLayer"=3 (0x3)
"TuneUp.Defrag"=3 (0x3)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"E:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"E:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"E:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"D:\\Steam\\Steam.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-17 45376]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-05 32768]
S4 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264]
S4 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-09-30 355584]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\covty7pl.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_04\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npmusicn.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-02 02:17:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-02  2:20:34 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-10-02 00:20:31

Vor Suchlauf: 332.095.488 Bytes frei
Nach Suchlauf: 340,406,272 Bytes frei

211
Ich hoffe das bringt ein bisschen Aufklärung!!


Gruß Alcatraz
__________________
Alt 02.10.2008, 09:42   #4
Sunny
Administrator
> Competence Manager
 
Windows Security Alert - Standard

Windows Security Alert


Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"dbchkapl"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InfoUiEn]

FILE::
C:\Programme\odjdprf\dbchkapl.dll
C:\WINDOWS\system32\jyxcfmxk.exe


FOLDER::
C:\Programme\odjdprf
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mbqxqxuf
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jkxeterw
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

(nach dem scannen auf den Button klicken und Funde löschen lassen!)
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 06.10.2008, 01:45   #5
41catraz
 
Windows Security Alert - Standard

Windows Security Alert


Combofix-Log:
Code:
ATTFilter
ComboFix 08-10-05.03 - *** 2008-10-06  1:02:53.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.267 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\***\Desktop\cfscript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
C:\Programme\odjdprf\dbchkapl.dll
C:\WINDOWS\system32\jyxcfmxk.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jkxeterw
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mbqxqxuf
C:\Programme\odjdprf
C:\Programme\odjdprf\dbchkapl.dll
C:\WINDOWS\system32\jyxcfmxk.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-05 bis 2008-10-05  ))))))))))))))))))))))))))))))
.

2008-10-02 02:08 . 2008-10-02 02:08	<DIR>	d----c---	C:\Programme\CCleaner
2008-10-01 03:23 . 2008-10-01 03:23	<DIR>	d----c---	C:\Programme\Enigma Software Group
2008-09-30 13:21 . 2008-09-30 13:21	355,584	--a--c---	C:\WINDOWS\system32\TuneUpDefragService.exe
2008-09-30 13:21 . 2008-05-17 14:56	28,416	--a--c---	C:\WINDOWS\system32\uxtuneup.dll
2008-09-23 20:06 . 2008-10-06 00:25	<DIR>	d----c---	C:\Dokumente und Einstellungen\***\Anwendungsdaten\HLSW

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-02 01:54	---------	dc----w	C:\Programme\exen
2008-10-02 00:11	---------	dc----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-01 18:06	---------	dc----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-30 17:18	---------	dc----w	C:\Programme\Spybot - Search & Destroy
2008-09-30 11:21	---------	dc----w	C:\Programme\TuneUp Utilities 2008
2008-09-29 12:39	---------	dc----w	C:\Programme\mIRC
2008-09-23 10:43	---------	dc----w	C:\Programme\ICQ6
2008-09-03 15:42	---------	dc----w	C:\Programme\Messenger Plus! Live
2008-08-26 20:06	---------	dc----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-08-26 12:27	---------	dc----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\mIRC
2007-12-22 17:22	53,400	-c--a-w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((((   snapshot@2008-10-02_ 1.58.38.54   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-01 13:53:03	74,996	----a-w	C:\WINDOWS\system32\perfc007.dat
+ 2008-10-05 22:16:16	74,996	----a-w	C:\WINDOWS\system32\perfc007.dat
- 2008-10-01 13:53:03	62,344	----a-w	C:\WINDOWS\system32\perfc009.dat
+ 2008-10-05 22:16:16	62,344	----a-w	C:\WINDOWS\system32\perfc009.dat
- 2008-10-01 13:53:03	415,470	----a-w	C:\WINDOWS\system32\perfh007.dat
+ 2008-10-05 22:16:16	415,470	----a-w	C:\WINDOWS\system32\perfh007.dat
- 2008-10-01 13:53:03	401,064	----a-w	C:\WINDOWS\system32\perfh009.dat
+ 2008-10-05 22:16:17	401,064	----a-w	C:\WINDOWS\system32\perfh009.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= divxa32.acm
"VIDC.MJPG"= Pvmjpg30.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.VP31"= vp31vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***^Startmenü^Programme^Autostart^Screen Saver Control.lnk]
backup=C:\WINDOWS\pss\Screen Saver Control.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMK08KB
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICE4DMOUSE
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]
--a--c--- 2007-08-30 13:19 87392 C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a--c--- 2004-08-04 00:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a--c--- 2005-11-09 00:00 128920 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C84 Series]
--a--c--- 2003-09-12 03:00 99840 C:\WINDOWS\system32\spool\drivers\w32x86\3\E_S4I0D2.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a--c--- 2008-09-01 17:08 173304 C:\PROGRA~1\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a--c--- 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
--a--c--- 2004-03-11 00:26 406016 C:\WINDOWS\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a--c--- 2006-07-24 17:58 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a--c--- 2004-11-02 20:24 32768 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-----c--- 2008-08-18 18:41 1832272 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyHunter Security Suite]
--a--c--- 2008-09-10 17:16 864256 C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a--c--- 2006-11-10 12:35 90112 C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a--c--- 2008-03-30 21:29 1271032 D:\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a--c--- 2005-06-03 03:52 36975 C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
--a--c--- 2007-10-30 19:45 1885464 C:\Programme\Uniblue\RegistryBooster 2\RegistryBooster.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpeedUpMyPC]
--a--c--- 2007-12-07 10:42 9479448 C:\Programme\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra--c--- 2006-03-30 16:45 313472 C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
--a--c--- 2007-06-13 21:17 26112 C:\WINDOWS\system32\Ati2mdxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
-----c--- 2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kernel and Hardware Abstraction Layer]
--a--c--- 2007-01-23 15:44 101136 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
--a--c--- 2007-01-23 15:44 101136 C:\WINDOWS\KHALMNPR.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a--c--- 2005-11-11 14:07 90112 C:\WINDOWS\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"StarWindService"=2 (0x2)
"MDM"=2 (0x2)
"iPodService"=3 (0x3)
"IDriverT"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"NVSvc"=2 (0x2)
"ATI Smart"=2 (0x2)
"aawservice"=2 (0x2)
"usnjsvc"=3 (0x3)
"ServiceLayer"=3 (0x3)
"TuneUp.Defrag"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\Pinnacle\\Studio 10\\programs\\RM.exe"=
"E:\\Programme\\Pinnacle\\Studio 10\\programs\\Studio.exe"=
"E:\\Programme\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=
"E:\\Programme\\Pinnacle\\Studio 10\\programs\\umi.exe"=
"D:\\Steam\\Steam.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-17 45376]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-05 32768]
S4 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 11264]
S4 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-09-30 355584]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-10-05 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-05-17 15:04]

2008-09-22 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job
- C:\Programme\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe [2007-12-07 10:42]

2007-12-17 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job
- C:\Programme\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe [2007-12-07 10:42]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-06 01:04:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-06  1:05:50
ComboFix-quarantined-files.txt  2008-10-05 23:05:43
ComboFix2.txt  2008-10-02 00:20:35

Vor Suchlauf: 283.942.912 Bytes frei
Nach Suchlauf: 286,883,840 Bytes frei

192
Aber nachdem, der Suchlauf beendet wurde kamen 2 Fehlermeldungen.

#1:
TeaTimer.exe - Fehler in der Anwendung
Die Ausnahme "Unbekannter Softwarefehler" (0x0eedfade) ist in der Anwendung an der Stelle 0x7c81eb33 aufgetreten.
Ok - Abbrechen
Da habe ich dann auf Ok geklickt.

#2:
Application Error
Exeption EOutOfResources in Module TeaTimer.exe at 000468FC.
Cannot create shell notification icon.
Ok
Da konnte ich dann nur auf Ok klicken.


Von Malwarebytes' Anti-Malware wurde zwar nichts gefunden, hier trotzdem die Logdatei:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1231
Windows 5.1.2600 Service Pack 2

06.10.2008 02:15:15
mbam-log-2008-10-06 (02-15-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 113633
Laufzeit: 51 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Alt 07.10.2008, 14:02   #6
myrtille
/// TB-Ausbilder
 
Windows Security Alert - Standard

Windows Security Alert


Hi,
das Log sieht gut aus. Hast du noch Probleme?

lg myrtille
__________________
--> Windows Security Alert

Alt 07.10.2008, 17:00   #7
41catraz
 
Windows Security Alert - Standard

Windows Security Alert


Also, das ursprüngliche Problem ist behoben, aber eben hat AntiVir sich gemeldet:

In der Datei 'C:\System Volume Information\_restore{1CB51EA4-6D86-4575-B119-A32C0B5F8706}\RP102\A0012702.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.GX.2017' [trojan] gefunden.

Ich habe dann auf "löschen" geklickt, hoffe das war richtig so.

Nebenbei nochmal vielen, vielen Dank für die schnelle und vor allem gute Hilfe!!!! Ich werde das Forum auf jeden Fall weiterempfehlen, findet man nicht oft sowas... alles perfekt erklärt in den Beiträgen, dass man nicht lange nachfragen muss!!


Gruß Alcatraz

Alt 07.10.2008, 17:03   #8
myrtille
/// TB-Ausbilder
 
Windows Security Alert - Standard

Windows Security Alert


Hi,

Deinstalliere bitte Combofix in dem du unter Start->Ausführen-> "%userprofile%\Desktop\Combofix.exe" /u eingibst.

Dann sollte Antivir auch in System Restore nichts mehr finden.

Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt)

Poste bitte danach noch ein letztes HijackThis log

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
Alt 07.10.2008, 17:48   #9
41catraz
 
Windows Security Alert - Standard

Windows Security Alert


HijackThis-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:51, on 07.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Tools\Sicherheit\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Programme\MP3 Player Utilities 3.75\AMVConverter\grab.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 3.75\MediaManager\grab.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153754625156
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - h**p://w*w.sibelius.com/download/software/win/ActiveXPlugin.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 3589 bytes

Alt 07.10.2008, 18:10   #10
myrtille
/// TB-Ausbilder
 
Windows Security Alert - Standard

Windows Security Alert


Hi,

sieht gut aus. Hast du noch Probleme mit dem Rechner?

Wenn nicht, sollte es das gewesen sein.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
Alt 07.10.2008, 18:23   #11
41catraz
 
Windows Security Alert - Standard

Windows Security Alert


Nein, nun ist wieder alles ok! Vielen, vielen Dank nochmal!!!!

Gruß Alcatraz

Antwort

Themen zu Windows Security Alert
antivir, auswerten, avira, bho, ctfmon.exe, enigma, excel, firefox, helfen, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, mp3, problem, security, security suite, sicherheit, software, system, trojaner, tuneup.defrag, warnung, windows, windows security, windows security alert, windows xp, windows-firewall


« Task Manager und Systemwiederher. gehen nicht mehr-> | Schon wieder Malware! Hilfe »


Ähnliche Themen: Windows Security Alert


  1. Windows 8; Security Alert
    Log-Analyse und Auswertung - 31.10.2014 (11)
  2. Windows Security alert
    Plagegeister aller Art und deren Bekämpfung - 29.05.2011 (1)
  3. AntiVirus Software Alert / Windows Security Alert
    Plagegeister aller Art und deren Bekämpfung - 15.01.2011 (19)
  4. Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 08.01.2011 (1)
  5. HDD Low & Windows Security Alert
    Plagegeister aller Art und deren Bekämpfung - 28.12.2010 (11)
  6. Meldung Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (26)
  7. Windows Security Alert / AV Security Suite / Antivirus Software Alert / gefakter AV lähmt PC
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (3)
  8. Malware / Virus / Trojaner - "Windows Security Alert / Security Suite"
    Plagegeister aller Art und deren Bekämpfung - 31.08.2010 (11)
  9. Windows security alert!
    Plagegeister aller Art und deren Bekämpfung - 31.08.2010 (4)
  10. selbe problem mit Windows Security Alert - Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 15.08.2010 (3)
  11. Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 26.07.2010 (21)
  12. Windows Security Alert / AV Security Suite / Antivirus Software Alert// Ohne Internet
    Plagegeister aller Art und deren Bekämpfung - 21.07.2010 (1)
  13. windows security alert
    Plagegeister aller Art und deren Bekämpfung - 25.05.2010 (9)
  14. WINDOWS SECURITY ALERT - weg?
    Plagegeister aller Art und deren Bekämpfung - 23.05.2010 (1)
  15. system alert, windows security alert und fremde antiviren programme
    Plagegeister aller Art und deren Bekämpfung - 01.01.2010 (51)
  16. Windows Security Alert
    Plagegeister aller Art und deren Bekämpfung - 14.09.2008 (3)
  17. Windows security alert??
    Plagegeister aller Art und deren Bekämpfung - 14.10.2007 (13)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Windows Security Alert - Hallo!! Ich hab zwar schon gesehen, dass viele das gleiche Problem hatten, aber offensichtlich hat es nicht bei jedem die gleiche Ursache. Deshalb hab ich in die FAQ geschaut und - Windows Security Alert...
Archiv
Du betrachtest: Windows Security Alert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130