|
Log-Analyse und Auswertung: Bei Google auf andere Seiten - LogFileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.03.2009, 20:47 | #16 |
| Bei Google auf andere Seiten - LogFile Hier die Ergebnisse von Virustotal der 3 Dateien. Die anderen hatte ich schon gelöscht. Wie ist das eigentlich: Bringt allgemeines "löschen" von Dateien grundsätzlich etwas? (Sofern die Systemwdh aus ist) Datei Call_Of_Duty_1.exe empfangen 2009.03.03 20:38:13 (CET) Status: Beendet Ergebnis: 3/39 (7.7%) Filter Drucken der Ergebnisse Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.03 - AhnLab-V3 5.0.0.2 2009.02.27 - AntiVir 7.9.0.98 2009.03.03 - Authentium 5.1.0.4 2009.03.03 - Avast 4.8.1335.0 2009.03.03 - AVG 8.0.0.237 2009.03.03 - BitDefender 7.2 2009.03.03 - CAT-QuickHeal 10.00 2009.03.03 - ClamAV 0.94.1 2009.03.03 - Comodo 1021 2009.03.03 - DrWeb 4.44.0.09170 2009.03.03 - eSafe 7.0.17.0 2009.03.03 Suspicious File eTrust-Vet 31.6.6381 2009.03.03 - F-Prot 4.4.4.56 2009.03.03 - F-Secure 8.0.14470.0 2009.03.03 - Fortinet 3.117.0.0 2009.03.03 - GData 19 2009.03.03 - Ikarus T3.1.1.45.0 2009.03.03 - K7AntiVirus 7.10.656 2009.03.03 - Kaspersky 7.0.0.125 2009.03.03 - McAfee 5542 2009.03.03 - McAfee+Artemis 5542 2009.03.03 - Microsoft 1.4306 2009.03.03 - NOD32 3905 2009.03.03 - Norman 6.00.06 2009.03.03 - nProtect 2009.1.8.0 2009.03.03 - Panda 10.0.0.10 2009.03.03 Generic Malware PCTools 4.4.2.0 2009.03.03 - Prevx1 V2 2009.03.03 - Rising 21.19.11.00 2009.03.03 - SecureWeb-Gateway 6.7.6 2009.03.03 - Sophos 4.39.0 2009.03.03 - Sunbelt 3.2.1858.2 2009.03.02 - Symantec 10 2009.03.03 - TheHacker 6.3.2.6.269 2009.03.02 - TrendMicro 8.700.0.1004 2009.03.03 PAK_Generic.001 VBA32 3.12.10.1 2009.03.03 - ViRobot 2009.3.3.1632 2009.03.03 - VirusBuster 4.5.11.0 2009.03.03 - weitere Informationen File size: 26112 bytes MD5...: a497b6ae2e8a4e35278c25bee3759f1e SHA1..: adef02412e4b78a9d4f69129d92e0465d1bf3986 SHA256: b1da483dd64bc8ef727161a56fb2e19f060833460d66fcfd730ac510daeaaf3a SHA512: ad3ec3f3114f72d7b84f8ec118a20f9ba3f4b62034f7eb9937288c72652b351e 25277898306c1393dd2af23a0affae4dec53dfb703634bd70d1f5617ba3af078 ssdeep: 768:QUGWwH5t5FsNIysTNhpsDqHUv23xnUiY:QUQnrhpsjcnUiY PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser TrID..: File type identification UPX compressed Win32 Executable (39.5%) Win32 EXE Yoda's Crypter (34.3%) Win32 Executable Generic (11.0%) Win32 Dynamic Link Library (generic) (9.8%) Generic Win/DOS Executable (2.5%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xf080 timedatestamp.....: 0x3fa13eb3 (Thu Oct 30 16:39:15 2003) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0xa000 0x6000 0x5200 7.88 0e9003993673733e70e47d5f22e72c62 .rsrc 0x10000 0x1000 0x1000 3.39 7d4e40c6a4565eecc7363ca0f95138f3 ( 5 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess > GDI32.dll: BitBlt > ole32.dll: CreateStreamOnHGlobal > OLEAUT32.dll: - > USER32.dll: GetDC ( 0 exports ) CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=a497b6ae2e8a4e35278c25bee3759f1e' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=a497b6ae2e8a4e35278c25bee3759f1e</a> packers (Kaspersky): UPX packers (F-Prot): UPX Datei Counter-Strike_CD_KeyGen.exe empfangen 2009.03.03 20:41:11 (CET) Status: Beendet Ergebnis: 0/39 (0%) Filter Drucken der Ergebnisse Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.03 - AhnLab-V3 5.0.0.2 2009.02.27 - AntiVir 7.9.0.98 2009.03.03 - Authentium 5.1.0.4 2009.03.03 - Avast 4.8.1335.0 2009.03.03 - AVG 8.0.0.237 2009.03.03 - BitDefender 7.2 2009.03.03 - CAT-QuickHeal 10.00 2009.03.03 - ClamAV 0.94.1 2009.03.03 - Comodo 1021 2009.03.03 - DrWeb 4.44.0.09170 2009.03.03 - eSafe 7.0.17.0 2009.03.03 - eTrust-Vet 31.6.6381 2009.03.03 - F-Prot 4.4.4.56 2009.03.03 - F-Secure 8.0.14470.0 2009.03.03 - Fortinet 3.117.0.0 2009.03.03 - GData 19 2009.03.03 - Ikarus T3.1.1.45.0 2009.03.03 - K7AntiVirus 7.10.656 2009.03.03 - Kaspersky 7.0.0.125 2009.03.03 - McAfee 5542 2009.03.03 - McAfee+Artemis 5542 2009.03.03 - Microsoft 1.4306 2009.03.03 - NOD32 3905 2009.03.03 - Norman 6.00.06 2009.03.03 - nProtect 2009.1.8.0 2009.03.03 - Panda 10.0.0.10 2009.03.03 - PCTools 4.4.2.0 2009.03.03 - Prevx1 V2 2009.03.03 - Rising 21.19.11.00 2009.03.03 - SecureWeb-Gateway 6.7.6 2009.03.03 - Sophos 4.39.0 2009.03.03 - Sunbelt 3.2.1858.2 2009.03.02 - Symantec 10 2009.03.03 - TheHacker 6.3.2.6.269 2009.03.02 - TrendMicro 8.700.0.1004 2009.03.03 - VBA32 3.12.10.1 2009.03.03 - ViRobot 2009.3.3.1632 2009.03.03 - VirusBuster 4.5.11.0 2009.03.03 - weitere Informationen File size: 191235 bytes MD5...: c64d618989a201506730bd50cfaaab0b SHA1..: 1b58e0dde434a3e8ff47f719bc4b1f085fe6ddd3 SHA256: 8ef5a3d69fd0eaa918fa0d4f7a9d3467a951d68b3355db23ab22db999ef537fa SHA512: 15832c4d17e6e5ebcc2f99b2adcdb510922dfc0e18f51e5baf22408f1bf81855 70fb2b16c73d30fe2a1e7c42b9ab4132a615722c2795a2e463657f0a41f1464a ssdeep: 3:: PEiD..: - TrID..: File type identification OpenGL object (29.2%) Lotus 123 Worksheet (generic) (14.6%) HSC music composer song (9.2%) Game Music Creator Music (8.2%) MacBinary 1 header (7.5%) PEInfo: - ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet. Datei EA_Games_KeyGen.exe empfangen 2009.03.03 20:43:20 (CET) Status: Beendet Ergebnis: 0/39 (0%) Filter Drucken der Ergebnisse Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.03 - AhnLab-V3 5.0.0.2 2009.02.27 - AntiVir 7.9.0.98 2009.03.03 - Authentium 5.1.0.4 2009.03.03 - Avast 4.8.1335.0 2009.03.03 - AVG 8.0.0.237 2009.03.03 - BitDefender 7.2 2009.03.03 - CAT-QuickHeal 10.00 2009.03.03 - ClamAV 0.94.1 2009.03.03 - Comodo 1021 2009.03.03 - DrWeb 4.44.0.09170 2009.03.03 - eSafe 7.0.17.0 2009.03.03 - eTrust-Vet 31.6.6381 2009.03.03 - F-Prot 4.4.4.56 2009.03.03 - F-Secure 8.0.14470.0 2009.03.03 - Fortinet 3.117.0.0 2009.03.03 - GData 19 2009.03.03 - Ikarus T3.1.1.45.0 2009.03.03 - K7AntiVirus 7.10.656 2009.03.03 - Kaspersky 7.0.0.125 2009.03.03 - McAfee 5542 2009.03.03 - McAfee+Artemis 5542 2009.03.03 - Microsoft 1.4306 2009.03.03 - NOD32 3905 2009.03.03 - Norman 6.00.06 2009.03.03 - nProtect 2009.1.8.0 2009.03.03 - Panda 10.0.0.10 2009.03.03 - PCTools 4.4.2.0 2009.03.03 - Prevx1 V2 2009.03.03 - Rising 21.19.11.00 2009.03.03 - SecureWeb-Gateway 6.7.6 2009.03.03 - Sophos 4.39.0 2009.03.03 - Sunbelt 3.2.1858.2 2009.03.02 - Symantec 10 2009.03.03 - TheHacker 6.3.2.6.269 2009.03.02 - TrendMicro 8.700.0.1004 2009.03.03 - VBA32 3.12.10.1 2009.03.03 - ViRobot 2009.3.3.1632 2009.03.03 - VirusBuster 4.5.11.0 2009.03.03 - weitere Informationen File size: 21536 bytes MD5...: 33882f7965f37c006d5aa2beb845b438 SHA1..: e535fd376d59b471a80a71829386c9e623276ebf SHA256: 1fb246fb7d02f7bfd1c71e09fb09c2ac3153b9e9c1b9462ad99964a7fa28ae34 SHA512: 4d6b85ece6d33b779d7c2e959e883599971c911a7cf90345847fa646bc4fa440 8472a95e850efdc005e707dbf472421b71a2397fc24f653f33f5cea9eff69ab5 ssdeep: 3:: PEiD..: - TrID..: File type identification OpenGL object (29.2%) Lotus 123 Worksheet (generic) (14.6%) HSC music composer song (9.2%) Game Music Creator Music (8.2%) MacBinary 1 header (7.5%) PEInfo: - |
03.03.2009, 22:17 | #17 |
| Bei Google auf andere Seiten - LogFile das sind aber nicht die Dateien
__________________C:\Games Extern\Key(gens)\Clone_CD_4X_Keygen.exe C:\Installations Exen\KaZaa\kazaa_lite.exe Die solltest du eigentlich überprüfen. Lade sie bitte bei Virustotal hoch und poste nochmal.. Zu deiner Frage....schwierige Frage......wenns um Trojaner, Würmer und rootkits geht.....Nein |
03.03.2009, 22:28 | #18 |
| Bei Google auf andere Seiten - LogFile Hallo Leute,
__________________darf ich mich bitte mit einklinken? Hatte auch die Probleme das ich auf andere Seiten verlinkt wurde, mein Kaspersky konnte sich nicht mehr updaten, ich konnte nicht mehr auf meine Festplatte zugreifen und es war alles sehr langsam. habe mich hier etwas belesen und folgendes gemacht: habe Flash Desinfector runtergeladen und ausgeführt und danach ComboFix laufenlassen. Jetzt scheint es besser zu sein, habe hier noch die Log Datei: ComboFix 09-03-02.03 - Jan und Reeni 2009-03-03 21:59:01.1 - NTFSx86 ausgeführt von:: c:\dokumente und einstellungen\Jan und Reeni\Desktop\ComboFix.exe . ADS - WINDOWS: deleted 24 bytes in 1 streams. (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf c:\windows\system32\drivers\gaopdxksiqvnnk.sys c:\windows\system32\gaopdxpamrflns.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_gaopdxserv.sys ((((((((((((((((((((((( Dateien erstellt von 2009-02-03 bis 2009-03-03 )))))))))))))))))))))))))))))) . 2009-03-03 20:22 . 2009-03-03 21:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-03-03 20:02 . 2009-03-03 21:43 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-02-27 21:47 . 2009-02-27 21:47 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien 2009-02-27 20:53 . 2009-02-27 20:53 410,984 --a------ c:\windows\system32\deploytk.dll 2009-02-27 20:07 . 2008-01-19 16:11 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen 2009-02-27 20:07 . 2008-01-19 15:01 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü 2009-02-27 20:07 . 2008-01-19 15:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung 2009-02-27 20:07 . 2009-02-27 21:43 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen 2009-02-27 20:07 . 2008-01-19 15:01 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten 2009-02-27 20:07 . 2008-01-19 15:01 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung 2009-02-27 20:07 . 2008-01-19 15:01 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten 2009-02-27 20:07 . 2009-02-27 21:47 <DIR> d-------- c:\dokumente und einstellungen\Administrator 2009-02-08 16:47 . 2009-02-08 16:47 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft 2009-02-08 16:47 . 2009-02-08 16:47 <DIR> d-------- c:\programme\DVDVideoSoft 2009-02-08 16:47 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll 2009-02-06 16:44 . 2009-02-06 16:44 <DIR> d--h----- C:\BJPrinter 2009-02-06 16:44 . 2004-06-15 07:00 116,736 --a------ c:\windows\system32\CNMLM61.DLL 2009-02-06 16:44 . 2004-06-04 17:34 86,016 --a------ c:\windows\system32\CNMCP61.exe 2009-02-06 16:44 . 2004-06-15 07:00 7,680 --a------ c:\windows\system32\CNMVS61.DLL . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-03 21:06 11,725,088 --sha-w c:\windows\system32\drivers\fidbox.dat 2009-03-03 21:05 494,112 --sha-w c:\windows\system32\drivers\fidbox2.dat 2009-03-03 21:03 47,324 --sha-w c:\windows\system32\drivers\fidbox2.idx 2009-03-03 21:03 159,080 --sha-w c:\windows\system32\drivers\fidbox.idx 2009-03-03 20:37 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-02-27 19:53 --------- d-----w c:\programme\Java 2009-02-07 17:37 71,152 ----a-w c:\dokumente und einstellungen\Jan und Reeni\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-02-03 22:02 89,601 ----a-w c:\windows\system32\drivers\klick.dat 2009-02-03 22:02 101,287 ----a-w c:\windows\system32\drivers\klin.dat 2009-01-13 20:46 --------- d-----w c:\programme\Google 2009-01-13 20:07 --------- d-----w c:\dokumente und einstellungen\Jan und Reeni\Anwendungsdaten\Leadertech 2009-01-13 19:44 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe 2009-01-12 14:24 --------- d-----w c:\programme\Paint.NET 2009-01-11 17:51 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA 2009-01-10 18:09 --------- d-----w c:\programme\Canon 2009-01-10 17:41 --------- d--h--w c:\programme\CanonBJ 2005-05-31 07:52 636,998 ----a-w c:\programme\DVD Shrink 3.2 DE.exe 2001-03-28 10:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe 2008-04-29 10:45 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008042920080430\index.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-27 136600] "MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2008-04-14 172544] "AVP"="c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe" [2008-05-01 221184] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv] 2006-12-30 09:04 176128 c:\progra~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.dx50"= divx50.dll "vidc.DIV3"= divxc32.dll "vidc.DIV4"= divxc32f.dll "vidc.X264"= x264vfw.dll "vidc.davc"= davcvfw.dll "vidc.hfyu"= huffyuv.dll "msacm.divxa32"= DivXa32.acm "msacm.l3codec"= l3codecp.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WISO Urteilsmonitor.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\WISO Urteilsmonitor.lnk backup=c:\windows\pss\WISO Urteilsmonitor.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] c:\windows\system32\dumprep 0 -k [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 22:16 39792 c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-01-15 16:14 147456 c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2008-04-14 06:52 15360 c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] --a------ 2006-10-26 23:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-04-13 11:09 49152 c:\programme\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2008-04-14 06:52 1695232 c:\programme\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 15:40 155648 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2006-10-22 12:22 86016 c:\windows\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVRaidService] -ra------ 2004-06-11 04:15 83968 c:\windows\system32\nvraidservice.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2005-12-07 22:57 30208 c:\programme\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer] --a------ 2007-04-11 14:32 56080 c:\windows\KHALMNPR.Exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2004-12-22 10:09 77824 c:\windows\SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 (0x3) "RichVideo"=2 (0x2) "ose"=3 (0x3) "odserv"=3 (0x3) "NMIndexingService"=3 (0x3) "NBService"=3 (0x3) "Microsoft Office Groove Audit Service"=3 (0x3) "gusvc"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\ICQ6\\ICQ.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "24510:TCP"= 24510:TCP:BitComet 24510 TCP "24510:UDP"= 24510:UDP:BitComet 24510 UDP "4266:TCP"= 4266:TCP:axyvi R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-12-13 24592] S3 rzbqlswc;rzbqlswc;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - Nla *Deregistered* - NVSvc *Deregistered* - plaeixfm *Deregistered* - PolicyAgent *Deregistered* - ProtectedStorage *Deregistered* - RasMan *Deregistered* - RemoteRegistry *Deregistered* - RpcSs *Deregistered* - SamSs *Deregistered* - Schedule *Deregistered* - seclogon *Deregistered* - SENS *Deregistered* - SharedAccess *Deregistered* - ShellHWDetection *Deregistered* - Spooler *Deregistered* - srservice *Deregistered* - SSDPSRV *Deregistered* - stisvc *Deregistered* - TapiSrv *Deregistered* - TermService *Deregistered* - Themes *Deregistered* - TrkWks *Deregistered* - WebClient *Deregistered* - winmgmt *Deregistered* - WmiApSrv *Deregistered* - wscsvc *Deregistered* - wuauserv *Deregistered* - WudfSvc *Deregistered* - WZCSVC HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs plaeixfm [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b3e495d5-7543-11dd-95db-000fea33a9aa}] \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com o: \Shell\Open\command - d:\resycled\boot.com o: . - - - - Entfernte verwaiste Registrierungseinträge - - - - MSConfigStartUp-Adobe Photo Downloader - c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe MSConfigStartUp-ICQ Lite - c:\programme\ICQLite\ICQLite.exe MSConfigStartUp-ISTray - c:\programme\Spyware Doctor\pctsTray.exe MSConfigStartUp-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe MSConfigStartUp-TopDesk - c:\programme\TopDesk\topdesk.exe . ------- Zusätzlicher Suchlauf ------- . uDefault_Search_URL = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\Jan und Reeni\Anwendungsdaten\Mozilla\Firefox\Profiles\g5ebhbee.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.studivz.net/ FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\npmozax.dll ---- FIREFOX Richtlinien ---- FF - user.js: yahoo.homepage.dontask - true. ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-03 22:05:43 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\rzbqlswc] "ImagePath"="\??\c:\windows\system32\01.tmp" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\plaeixfm] "ServiceDll"="c:\windows\system32\ptwxnifd.dll" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1024) c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\miscr3.dll c:\windows\system32\klogon.dll c:\progra~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll - - - - - - - > 'lsass.exe'(1080) c:\programme\Kaspersky Lab\Kaspersky Security Suite CBE\dnsq.dll c:\programme\Kaspersky Lab\Kaspersky Internet Security 7.0\miscr3.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Java\jre6\bin\jqs.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-03-03 22:12:57 - PC wurde neu gestartet [Jan und Reeni] ComboFix-quarantined-files.txt 2009-03-03 21:12:53 Vor Suchlauf: 9,751,539,712 Bytes frei Nach Suchlauf: 9,658,720,256 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn /usepmtimer 253 |
03.03.2009, 23:42 | #19 |
| Bei Google auf andere Seiten - LogFile @Polo bitte mache dir mal einen eigenen Thread auf und lösche deinen Beitrag hier drin. Sonst wirds für alle anderen unübersichtlich! @Redwulf: Wie ich ja schrieb war ich so "schlau" die Dateien zu löschen! Nach deiner Aussage grade scheint dass ja nicht so ne gute Idee gewesen zu sein. Maaaaan, so als Laie sollte man am Besten garnix anfassen, diese Erkenntnis habe ich jetzt gewonnen. Woher nimmst du denn die Vermutung dass noch nicht alles weg ist? Was kann ich denn noch tuen um dies sicherzustellen? Gruß Oberseggl |
04.03.2009, 09:23 | #20 |
| Bei Google auf andere Seiten - LogFile Die Werbepopups die kommen wenn du deinen Browser öffnest, die sollten eigendlich nicht erscheinen. Wenn du sauber bleiben willst solltest du solche P2P wie Kaaza ( und wie sie alle heißen ) nicht nutzen. Die ziehen die Biester geradezu magisch an. Das ist das Problem hier. Leute die helfen wollen arbeiten immer in eine bestimmte Reihenfolge von Programmen ab. Eine Reihenfolge ist auch notwendig, da die Bedrohungen sonst wieder auftauchen, z.B. bei aktivierter Systemherstellung. Andere User arbeiten vor oder löschen etwas und schon ist die Reihenfolge durchbrochen. Die Sache mit Ferndiagnosen funzt nicht, Leute die helfen brauchen Log Files, um dann die Entscheidungen zu treffen... Das Beseitigen von Bedrohungen ist langwierig und wir wollen sicher stellen, dass die Systeme danach auch ziemlich sicher sind. Befallene Systeme sind, leider und zugegeben, auch nach einer Säuberung, vermutlich noch unsicher, auch wenn die Auffälligkeiten verschwunden sind. Welche Probleme sind denn jetzt aufgetaucht? Versuch das bitte zu beschreiben. Als Notfallpaket lässt du bitte nochmal den CCleaner laufen und danach Malwarebytes. Wenn bei Malwarebytes nichts gefunden wird brauchst du nichts zu posten. Ich hätte aber gerne nochmal ein aktuelles HiJack this dananch..... PS: Hast du mal versucht updates zu fahren? Funktioniert das auch ? z.b. Microsoft und Bitdefender? Geändert von Redwulf (04.03.2009 um 09:31 Uhr) |
05.03.2009, 00:24 | #21 |
| Bei Google auf andere Seiten - LogFile So, CCleaner hab ich nochmal laufen lassen, wenig zu beheben, Malwarebytes auch, das hat aber nix gefunden. Dann habe ich nochmal einen aktuellen Hi Jack Log File gemacht. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:18:23, on 04.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint\Apoint.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe C:\Programme\Sony\ISB Utility\ISBMgr.exe C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe C:\WINDOWS\System32\DLA\DLACTRLW.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe C:\Programme\Apoint\Apntex.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe C:\WINDOWS\eHome\ehRecvr.exe C:\Programme\Sophos\AutoUpdate\ALMon.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe C:\Programme\lotus\notes\ntmulti.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe C:\Programme\Sophos\AutoUpdate\ALsvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sony\VAIO Event Service\VESMgr.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\HJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.*****rosoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.m****osoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.mi***oft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mic***t.com/fwlink/?LinkId=69157 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Programme\Sophos\Sophos Anti-Virus\SophosBHO.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe" O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programme\Sony\VAIO Power Management\SPMgr.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Übertragen mit Image Converter 2 Plus - C:\Programme\Sony\Image Converter 2\menu.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O14 - IERESET.INF: START_PAGE_URL=http://www.club-***o.com/de/ O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Sophos\SOPHOS~1\SOPHOS~1.DLL O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe -- End of file - 8796 bytes Zu Kazaa und co: Wie gesagt, nutze sonen scheiß schon seit Jahren nicht mehr, das war halt nur noch auf meinem Rechner. Auffälligkeiten gibt es eigentlich keine mehr! Das mit den Poup Fenstern passiert auch nicht wenn ich Firefox starte oder so, sondern nur auf bestimmten Seiten (Sport1.de, Web.de etc), ist daher ganz normal glaube ich. Windows Updates runterladen funktioniert auch. Was meinst du mit Bitdefender Update? Woher? Nochmals vielen Dank für deine Geduld. p.s. Eine Auffälligkeit habe ich doch: Meine Systemzeit ist kaputt (aber schon länger) Bei Saturn und im Netz sagte man mir dass es viele Gründe haben könnte und ich den Rechner einschicken müsste, kann aber nicht auf ihn verzichten. Ab und zu (mal für 5 Tage z.b.) geht die Systemzeit aber wieder. Könnte das auch am Virus liegen? pps. Noch eine Auffälligkeit: Grade beim runterfahren (und das war gestern auch schon so) fährt Windows nicht runter sondern sagt "rundl32.exe" oder so müsste erst beendet werden. Er kann es aber nicht selbst beenden. Einzige Möglichkeit für mich ist dann auf "Sofort beenden" zu klicken. Was ist das? Geändert von Oberseggl (05.03.2009 um 00:37 Uhr) |
05.03.2009, 13:23 | #22 |
| Bei Google auf andere Seiten - LogFile Dann liegt hier wohl ein Missverständnis vor. Ich dachte die Popups gehen hoch sobald du den IE öffnest. Aber so ist das ok, vieleicht nutzt du den Popup Blocker. Mittlerweile ist auch IE 8 beta draussen. Alles inklusive. Deinstalliere aber IE nicht, du brauchst das für deine MS updates. Bald hammers geschafft............ Bitte lade die folgenden Dateien mal zur Sicherheit zu Virustotal.com hoch. Eines der Files zeigt einen ungewöhnlichen Installationspfad Code:
ATTFilter C:\Programme\Apoint\Apoint.exe C:\WINDOWS\system32\RunDll32.exe Fixe bitte folgende Einträge mit Hijack Code:
ATTFilter O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -C:\WINDOWS\Network Diagnostic\xpnetdiag.exe Hinweis: Ich würde so viele Programme nicht mit starten lassen. Falls du sie alle brauchst ists ok, aber sie verbrauchen unnötige Ressourcen. Kannst du unter Ausführen [msconfig] eintippen / Reiter Systemstart aktivieren oder deaktivieren. Wie du willst.... Dein Zeitproblem scheint ein Problem mit einer Mainboard Batterie zu sein. Schau mal in dein Handbuch ob dein Mainboard so was hat. ggf. tauschen Eventuell kannst du auch auf deine Uhr doppelklicken und die Internetzeit aktivieren oder deaktivieren, probier mal beides aus. ( Reboot ) nicht vergessen. Ausserdem geht das Gerücht das nach Updates von Windows die zeit vor Mai 2002 zunächst eingestellt werden muss. Danach rebooten und ide Zeit neu einstellen. Kann ich mir zwar nicht vorstellen, aber ein Versuch wärs wert. Ansonsten kann ich dir nur die Microsoft Hilfe Seite empfehlen... Dein Rundll32 Fehler ist etwas komplexer. Es sieht so aus als ob bei Runterfahren ein Programm nicht oder noch nicht vollständig beendet wurde. Falls das nochmal auftritt, solltest du den Taskmanager öffnen und dort nachschauen welches Programm noch läuft. Hier dann posten..... |
05.03.2009, 21:39 | #23 |
| Bei Google auf andere Seiten - LogFile Hier die Virus Total Ergebnisse: Ergebnis: 0/39 (0%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.05 - AhnLab-V3 5.0.0.2 2009.02.27 - AntiVir 7.9.0.100 2009.03.05 - Authentium 5.1.0.4 2009.03.05 - Avast 4.8.1335.0 2009.03.05 - AVG 8.0.0.237 2009.03.05 - BitDefender 7.2 2009.03.05 - CAT-QuickHeal 10.00 2009.03.05 - ClamAV 0.94.1 2009.03.05 - Comodo 1027 2009.03.05 - DrWeb 4.44.0.09170 2009.03.05 - eSafe 7.0.17.0 2009.03.05 - eTrust-Vet 31.6.6382 2009.03.05 - F-Prot 4.4.4.56 2009.03.05 - F-Secure 8.0.14470.0 2009.03.05 - Fortinet 3.117.0.0 2009.03.05 - GData 19 2009.03.05 - Ikarus T3.1.1.45.0 2009.03.05 - K7AntiVirus 7.10.659 2009.03.05 - Kaspersky 7.0.0.125 2009.03.05 - McAfee 5544 2009.03.05 - McAfee+Artemis 5544 2009.03.05 - Microsoft 1.4405 2009.03.05 - NOD32 3911 2009.03.05 - Norman 6.00.06 2009.03.05 - nProtect 2009.1.8.0 2009.03.05 - Panda 10.0.0.10 2009.03.05 - PCTools 4.4.2.0 2009.03.05 - Prevx1 V2 2009.03.05 - Rising 21.19.32.00 2009.03.05 - SecureWeb-Gateway 6.7.6 2009.03.05 - Sophos 4.39.0 2009.03.05 - Sunbelt 3.2.1858.2 2009.03.05 - Symantec 10 2009.03.05 - TheHacker 6.3.2.7.272 2009.03.05 - TrendMicro 8.700.0.1004 2009.03.05 - VBA32 3.12.10.1 2009.03.05 - ViRobot 2009.3.5.1635 2009.03.05 - VirusBuster 4.5.11.0 2009.03.05 - weitere Informationen File size: 118784 bytes MD5...: 26187c6ce31b7730521936de2b6f293d SHA1..: 1ad09dfa9ff74202d69ea97fc21449503557919c SHA256: 23b2271244ee8dadf88b19713a24d169d840e5fc5279107f86438128cbbf39a5 SHA512: f43e4ee5159051e6310663ed38fa5230a43a6d958d4986e80702fafb924ca31f f6444326453a97e605c1bb33baa70de0afa23b78584e8f92e7df87333068164a ssdeep: 1536:26RMw7hzDeBEE5PF2ZFpYrupLP1JVh2cjFt2Q8a:26RhlzDgEELifkSLP1J VhVjFAa PEiD..: Armadillo v1.71 TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x7365 timedatestamp.....: 0x419b3a43 (Wed Nov 17 11:47:15 2004) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xb076 0xc000 6.22 5ef297bcdaeb21688a7135a410216958 .sdata 0xd000 0x104 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rdata 0xe000 0x1503 0x2000 4.06 b7ed4cb6d5ff5ff412518ea787f9cac2 .data 0x10000 0x6388 0x4000 2.44 94b69607491533c886dfd651e984c408 .rsrc 0x17000 0x8af0 0x9000 3.84 d8ddcda43f9c9997bf79cd8f3667aab2 ( 8 imports ) > KERNEL32.dll: CreateMutexA, SleepEx, GetSystemDefaultLangID, lstrlenA, lstrcmpA, UnmapViewOfFile, OpenProcess, CloseHandle, GetFullPathNameA, CompareStringW, CompareStringA, FlushFileBuffers, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, MultiByteToWideChar, SetStdHandle, GetOEMCP, GetACP, GetCPInfo, SetFilePointer, WriteFile, RtlUnwind, GetFileType, GetLastError, MapViewOfFile, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, HeapReAlloc, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetEnvironmentVariableA, GetModuleFileNameA, WideCharToMultiByte, ExitProcess, GetVersion, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, HeapAlloc, HeapFree, GetLocalTime, GetSystemTime, GetTimeZoneInformation, GetStdHandle, CreateFileMappingA, CreateThread, GetVersionExA, lstrcpynA, Sleep, GetSystemDirectoryA, lstrcatA, SetEnvironmentVariableA, OpenFile, lstrcpyA, LoadLibraryA, GetProcAddress, SetHandleCount, FreeLibrary > USER32.dll: SetSystemCursor, WinHelpA, GetDesktopWindow, GetSystemMetrics, GetWindow, LoadImageA, KillTimer, DestroyWindow, CopyIcon, MessageBoxA, CreateWindowExA, SetDoubleClickTime, LoadCursorA, IsWindowVisible, GetWindowThreadProcessId, FindWindowExA, SystemParametersInfoA, SetTimer, GetMessageA, TranslateMessage, DispatchMessageA, keybd_event, LoadMenuA, GetSubMenu, InsertMenuA, DeleteMenu, DrawMenuBar, SetForegroundWindow, CheckMenuItem, TrackPopupMenu, DestroyMenu, GetClassNameA, GetWindowTextA, MessageBeep, GetForegroundWindow, GetParent, GetWindowDC, GetWindowRect, ReleaseDC, GetSystemMenu, GetMenuItemInfoA, GetCursorPos, ClipCursor, GetWindowLongA, IsWindow, SetRect, WindowFromPoint, GetAsyncKeyState, mouse_event, LoadStringA, FindWindowA, PostMessageA, SendMessageTimeoutA, PostQuitMessage, DefWindowProcA, RegisterWindowMessageA, LoadIconA, RegisterClassA, SendMessageA > GDI32.dll: GetStockObject, PatBlt > ADVAPI32.dll: RegOpenKeyExA, RegQueryInfoKeyA, RegCloseKey, RegSetValueExA, RegCreateKeyExA, RegQueryValueExA, RegEnumValueA, RegEnumKeyExA > SHELL32.dll: ShellExecuteA, Shell_NotifyIconA > WINMM.dll: PlaySoundA > IMM32.dll: ImmDisableIME > PSAPI.DLL: EnumProcessModules, GetModuleFileNameExA, EnumProcesses ( 0 exports ) ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=26187c6ce31b7730521936de2b6f293d' target='_blank'>http://www.threatexpert.com/report.aspx?md5=26187c6ce31b7730521936de2b6f293d</a> Datei rundll32.exe empfangen 2009.03.05 21:15:22 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/37 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit ist zwischen 56 und 80 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.03.05 - AhnLab-V3 5.0.0.2 2009.02.27 - AntiVir 7.9.0.100 2009.03.05 - Authentium 5.1.0.4 2009.03.05 - Avast 4.8.1335.0 2009.03.05 - AVG 8.0.0.237 2009.03.05 - CAT-QuickHeal 10.00 2009.03.05 - ClamAV 0.94.1 2009.03.05 - Comodo 1027 2009.03.05 - DrWeb 4.44.0.09170 2009.03.05 - eSafe 7.0.17.0 2009.03.05 - eTrust-Vet 31.6.6382 2009.03.05 - F-Prot 4.4.4.56 2009.03.05 - F-Secure 8.0.14470.0 2009.03.05 - Fortinet 3.117.0.0 2009.03.05 - GData 19 2009.03.05 - Ikarus T3.1.1.45.0 2009.03.05 - K7AntiVirus 7.10.659 2009.03.05 - Kaspersky 7.0.0.125 2009.03.05 - McAfee 5544 2009.03.05 - McAfee+Artemis 5544 2009.03.05 - Microsoft 1.4405 2009.03.05 - NOD32 3911 2009.03.05 - Norman 6.00.06 2009.03.05 - nProtect 2009.1.8.0 2009.03.05 - Panda 10.0.0.10 2009.03.05 - PCTools 4.4.2.0 2009.03.05 - Prevx1 V2 2009.03.05 - Rising 21.19.32.00 2009.03.05 - SecureWeb-Gateway 6.7.6 2009.03.05 - Sophos 4.39.0 2009.03.05 - Sunbelt 3.2.1858.2 2009.03.05 - Symantec 10 2009.03.05 - TheHacker 6.3.2.7.272 2009.03.05 - TrendMicro 8.700.0.1004 2009.03.05 - ViRobot 2009.3.5.1635 2009.03.05 - VirusBuster 4.5.11.0 2009.03.05 - weitere Informationen File size: 33792 bytes MD5...: f6b34cd47caf6d68106b9f8055f35c50 SHA1..: b20d4ccb44bbb2b1de1e8d61d4152b9553571841 SHA256: aeb641391d0186c2a6c2ed97fe87edf6d0289818fd2cbb98aad0cda3504b23b0 SHA512: ea22d61a4fd2d84586f4b24bc66d9d34a61c21d2956ddc1cb46901a5a1491756 b31d98bd761251eb9ff2f9ed79e7237c98f25b3cbcb75deab24445f466ae07ba ssdeep: 384:9dvAw66vILDXNRhbHeJh8+oXBjxJd5IyYQGSbdkDjkoebjDISav3WFKFX:nv AOEbSEln5IyYpamDjobj8Sav8OX PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1bdc timedatestamp.....: 0x480252d5 (Sun Apr 13 18:37:09 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x126a 0x1400 5.98 97ff84b75eadabc20339b518e590f1f1 .data 0x3000 0x38 0x200 0.25 a7f7e8f7f41d7ffb4b369fe282510650 .rsrc 0x4000 0x6888 0x6a00 5.63 65ab8b577a145d407e496997d3d0f4e5 ( 5 imports ) > msvcrt.dll: _except_handler3, _wtoi, _vsnwprintf > KERNEL32.dll: FreeLibrary, LocalFree, lstrlenA, WideCharToMultiByte, LocalAlloc, lstrlenW, GetProcAddress, FormatMessageW, GetLastError, LoadLibraryW, ActivateActCtx, CreateActCtxW, SearchPathW, GetFileAttributesW, ReleaseActCtx, DeactivateActCtx, SetErrorMode, ExitProcess, GetModuleHandleW, GetStartupInfoW, GetCommandLineW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter > GDI32.dll: GetStockObject > USER32.dll: RegisterClassW, LoadStringW, CharNextW, SetClassLongW, LoadIconW, DefWindowProcW, CreateWindowExW, MessageBoxW, LoadCursorW, DestroyWindow > IMAGEHLP.dll: ImageDirectoryEntryToData ( 0 exports ) CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f6b34cd47caf6d68106b9f8055f35c50' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=f6b34cd47caf6d68106b9f8055f35c50</a> Bei der msconfig Sache: Woher weiß ich denn welche ich beim Systemstart ausführen sollte und welche nicht? Und wenn ich was ändere kommt immer: "Es wurde ein Zugriffsverweigerungsfehler beim Versuch einen Dienst zu ändern zurückgegeben. Sie können sich als Admin anmelden um diese Änderungen durchzuführen" Dann will er das ich Neustarte. Der Rundll Fehler liegt nun nicht mehr vor. Die Uhrzeit Sache probier ich mal aus. Danke Oberseggl |
05.03.2009, 22:08 | #24 |
| Bei Google auf andere Seiten - LogFile Ich denke der rundll Fehler ist gefixt worden. Soweit sieht dein System sauber aus...Sollte aber auch so bleiben, oder? Halte deine Dinge immer geupdated, nur so ist maximale Sicherheit gewährleistet.--- Bleib sauber..... |
05.03.2009, 23:40 | #25 |
| Bei Google auf andere Seiten - LogFile Danke Redwulf für die freundliche kompetente Beratung. Ich werde es weiterempfehlen. Nur eine Frage zum Schluss: Sollte ich meine Systemwiederherstellung nicht wieder aktivieren jetzt? |
06.03.2009, 07:10 | #26 |
Administrator > Competence Manager | Bei Google auf andere Seiten - LogFileCombofix Deinstallieren Klick auf Start -> Ausführen -> eintippen combofix /U Damit ist Combofix und alle weiteren Programme entfernt wurden.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
06.03.2009, 14:33 | #27 |
| Bei Google auf andere Seiten - LogFile hehe Sunny...du guckst mir doch auf die Finger...... Klar, die Wiederherstellung solltest du schon noch aktivieren und Combofix wieder deinstallieren...... Hat Spaß gemacht...Ich hoffe dein System bleibt sauber..... |
07.03.2009, 03:29 | #28 |
| Bei Google auf andere Seiten - LogFile Sorry aber wenn ich das mit combofix mache (und exakt so mache wie ihr das vorgebt) dann kommt: "Combofix konnte nicht gefunden werden... usw Warum? |
07.03.2009, 13:29 | #29 |
| Bei Google auf andere Seiten - LogFile Versuch über die Sytem/ Software Deinstallationsroutine....dann sollte es gehen.. |
07.03.2009, 13:33 | #30 |
/// TB-Ausbilder | Bei Google auf andere Seiten - LogFile Lade dir Combofix noch einmal runter, führe die Datei nicht aus, sondern speichere sie einfach nur auf deinem Desktop ab. Führe den Befehl dann nochmal aus, dann sollte das eigentlich gehen. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
Themen zu Bei Google auf andere Seiten - LogFile |
adobe, bho, browser, converter, defender, einstellungen, error, excel, firefox, google, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, monitor, mozilla, problem, registry, rundll, server, software, web.de, windows, windows xp |