|
Log-Analyse und Auswertung: Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defektWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.01.2009, 02:35 | #1 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt Hallo! AntiVir lässt sich nicht mehr aktualisieren,ebenso Windows. Eine Systemwiederherstellung ist nicht mehr möglich, die Systemwiederherstellungspunkte werden angezeigt, aber die Herstellung lässt sich nicht starten. Drücke ich auf den "Weiter"-Knopf passiert nichts. ich habe es auch im abgesicherten Modus bereits versucht. Ich hatte den Zlob.DNSChanger auf dem Rechner und mit Hilfe von ExterminateIt händisch beseitigt. Und nun weiss ich nicht mehr weiter. Beste Grüße Thomas Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 02:29:09, on 25.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\ThreatFire\TFTray.exe C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\aborange DayDisplay\DayDisplay.exe C:\Programme\PureText\PureText.exe C:\Programme\A Note\A Note.exe C:\Programme\PhraseExpress\phraseexpress.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ThreatFire\TFService.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\CNAB3RPK.EXE C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - (no file) O2 - BHO: Ziepod One-Click IE Helper - {57A30D1E-08B9-4EF4-B273-AAEA1C234A5B} - (no file) O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file) O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - (no file) O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe O4 - HKCU\..\Run: [aborange DayDisplay] C:\Programme\aborange DayDisplay\DayDisplay.exe O4 - HKCU\..\Run: [PureText] "C:\Programme\PureText\PureText.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: A Note.lnk = C:\Programme\A Note\A Note.exe O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe O4 - Startup: Verknüpfung mit DayDisplay.lnk = C:\Programme\aborange DayDisplay\DayDisplay.exe O4 - Startup: Verknüpfung mit meOme.lnk = ? O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer = 194.97.173.124 194.97.173.125 O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing) O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe SmitFraudFix v2.391 Scan done at 2:04:01,14, 25.01.2009 Run from C:\Dokumente und Einstellungen\ICH\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 194.97.173.124 DNS Server Search Order: 194.97.173.125 HKLM\SYSTEM\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125 HKLM\SYSTEM\CS1\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125 »»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 194.97.173.124 DNS Server Search Order: 194.97.173.125 HKLM\SYSTEM\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125 HKLM\SYSTEM\CS1\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer=194.97.173.124 194.97.173.125 |
25.01.2009, 08:16 | #2 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt Ergänzung:
__________________# Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost 127.0.0.1 localhost 127.0.0.1 localhost |
25.01.2009, 08:33 | #3 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt Hallo und
__________________Lebst du in bzw. Nähe Kiel und ist dein Provider Freenet? Seit wann hast du Probleme? 1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme): Code:
ATTFilter ZoneAlarm (Schrott) Alles von Google (Datenkrake) Ad-Aware (Schrott) Unlocker Code:
ATTFilter O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - (no file) O2 - BHO: Ziepod One-Click IE Helper - {57A30D1E-08B9-4EF4-B273-AAEA1C234A5B} - (no file) O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file) O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - (no file) O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - (no file) O4 - Startup: Verknüpfung mit meOme.lnk = ? O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
ciao, andreas |
25.01.2009, 09:02 | #4 | |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defektZitat:
Ich wohne in Tübingen und mein Provider ist meome. Die Probleme dürften so seit dem 14. Januar bestehen. Damals wurde mein AntiVir das letzte mal umgedatet. Was empfiehlst du mir an Stelle von Zone Alarm. Werde am Nachmittag mal deine Tipps durch führen. Beste Grüße Thomas |
25.01.2009, 09:12 | #5 | ||
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defektZitat:
Zitat:
Einige Links zum Thema PFW: Lutz Donnerhacke: de.comp.security.firewall FAQ http://www.fefe.de/pffaq/halbesicherheit.txt Personal Firewall Security FAQ Wie Personal Firewalls ausgetrickst werden können http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm PC Flank: Make sure you're protected on all sides. heise online - 13.05.04 - Kritische Sicherheitslücken in Symantecs Desktop Firewalls pfargumente CCC | FAQ - Sicherheit ciao, andreas |
25.01.2009, 09:15 | #6 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt Hallo Thomas, ich hatte genau das gleiche Prob. Habe mir über Chip.de von AVG den Atnivirus geladen, direkt über die AVG-Seite wird bei dir nicht gehen, weil vermutlich die seiten blockiert werden. Antivir deinstalliert, und AVG installiert. Mit zweiten PC (nicht infiziert) über die AVG-Homepage die akutelle Datenbank geladen und auf CD gebrannt. AVG über Tools aus verzeichnis aktualisieren auf den neuesten Stand gebracht. Wenn Du dann dein System scannst wird er erstmal nichts finden, erst nachdem du den Rechner neu Startest. Es ist der Generic10.xxxx Falls du keinen zweiten PC zum laden der aktuellen Datenbank hast, kann ich sie dir per Email schicken. Gruß Stefan |
25.01.2009, 18:47 | #7 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt @Andreas: Vielen Dank für deine Hilfe. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:32:43, on 25.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ThreatFire\TFService.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\Rundll32.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\ThreatFire\TFTray.exe C:\Programme\Microsoft IntelliPoint\ipoint.exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\PureText\PureText.exe C:\Programme\A Note\A Note.exe C:\Programme\PhraseExpress\phraseexpress.exe C:\Programme\aborange DayDisplay\DayDisplay.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\CNAB3RPK.EXE C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\Programme\AVG\AVG8\avgcsrvx.exe C:\Programme\AVG\AVG8\avgtray.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\ICH\Desktop\gmer.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe" O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" -H O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe O4 - HKCU\..\Run: [aborange DayDisplay] C:\Programme\aborange DayDisplay\DayDisplay.exe O4 - HKCU\..\Run: [PureText] "C:\Programme\PureText\PureText.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: A Note.lnk = C:\Programme\A Note\A Note.exe O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe O4 - Startup: Verknüpfung mit DayDisplay.lnk = C:\Programme\aborange DayDisplay\DayDisplay.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9428593B-4BC6-4945-A452-AD230BC14DBC}: NameServer = 194.97.173.124 194.97.173.125 O18 - Protocol: haufereader - (no CLSID) - (no file) O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Unknown owner - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
25.01.2009, 18:58 | #8 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt @Stefan: Danke für deinen Hinweis auf den AVG Anti-Virus. Das herunter laden hat sogar funktioniert. Werde nun mal den Scan starten. |
25.01.2009, 19:07 | #9 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt Ergebnis von Gmer: http://www.file-upload.net/download-1407252/Gmer.txt.html |
25.01.2009, 19:14 | #10 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt Du solltest nicht auf jemanden hören, der selbst mit Rootkits infiziert ist. ZoneAlarm ist noch nicht deinstalliert. Hole das nach. Das Zeuch versaut alle Logs. Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter Drivers to delete: gaopdxserv.sys
ciao, andreas |
25.01.2009, 19:29 | #11 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt Ich bekomme die Meldung: Error: Invalid script. A valid script must began with a command directive. Aborting execution. |
25.01.2009, 19:34 | #12 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt Versuche es mit diesem hier: Code:
ATTFilter Drivers to delete: gaopdxserv.sys Files to delete: C:\WINDOWS\system32\drivers\gaopdxkdqomlem.sys C:\WINDOWS\system32\gaopdxxbqekxyj.dll |
25.01.2009, 19:43 | #13 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt So jetzt ging es: Code:
ATTFilter Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "gaopdxserv.sys" found! ImagePath: \systemroot\system32\drivers\gaopdxkdqomlem.sys Start Type: 4 (Disabled) Rootkit scan completed. Driver "gaopdxserv.sys" deleted successfully. File "C:\WINDOWS\system32\drivers\gaopdxkdqomlem.sys" deleted successfully. File "C:\WINDOWS\system32\gaopdxxbqekxyj.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
25.01.2009, 19:45 | #14 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt Ich versuchte gerade den Virenscanner upzudaten, das geht jetzt wieder! |
25.01.2009, 19:59 | #15 |
| Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt Glaube nur nicht, dass wir fertig sind. Der schlimmste Bösewicht ist gekillt, jetzt kommen die anderen. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code] 2.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!) 3.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html 4.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. 5.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe Editiere die Links und privaten Infos!! Ich werde erst Freitag wieder on sein. Du hast aber genug zu tun. ciao, andreas |
Themen zu Kein Virenscanner- und Windowsupdate, Systemwiederherstellung defekt |
abgesicherten modus, ad-aware, antivirus, avira, bho, dateien, desktop, dll, einstellungen, explorer, firefox, google, gservice, helper, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, locker, microsoft, mozilla, plug-in, programme, rundll, scan, starten., tuneup.defrag, windows xp, zlob.dnschanger |