| |
| |||||||
Log-Analyse und Auswertung: PC mit viren verseuchtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
12.03.2009, 19:32
| #1 |
 |  PC mit viren verseucht Guten Tag erstmals, Ich Idiot dachte, dass mein Virus Programm locker ein paar Viren aushält, daher bin ich auf die seite w*w.messblack.com/v2 oder so ähnlich draufgegangen und mein PC wurde von dort aus mit Viren "bombadiert". Nach ungefähr 5 Sekunden meldete mir mein nod32 das es ausgeschaltet wurde und explorer.exe etc. nicht mehr funktionieren würden (hängen geblieben). Sofort habe ich den Netzwerkkabel gezogen, und nachdem ich dann den PC im "Sicheren Modus" hochgefahren habe ( im normalen Modus ging es nicht, blieb vor dem Windows Vista Zeichen hängen und blieb schwarz), habe ich natürlich sofort in der msconfig mehrere "Vermutungen auf Viren" deaktiviert. Da es spät war, und ich am nächsten Tag zur Schule musste, habe ich den Netzwerkkabel wieder gezogen, den PC Ausgeschaltet ( sodass er kein Strom mehr nimmt, also hinter dem PC) und Sicherheitsweise den Stromkabel gezogen. Am nächsten Tag, also heute, habe ich dann zuerst eine Systemwiederherstellung angewendet, und dann komplett mit einem neuinstallierten Avira Programm durchlaufen lassen ( das alte Programm nod32 habe ich deinstalliert, weil der Verdacht da war, dass ein Virus sich da infiziert hat). Avira hat auch recht viele gefunden. Anschließend Windows Defender, was wahrscheinlich nicht ernennenswert ist. Daraufhin habe ich CCleaner durchlaufen lassen und alles gereinigt. Danach Malwarebytes (Bericht siehe unten). Und zum Schluss noch HijackThis. Photo von Task-Manager und Systemstart:  Firefox hat oft bis zu 150.000 K  Btw. Dafür, dass mein PC recht gut ist, dauert es doch relativ lange, z.B. Firefox zu öffnen, und ist es normal, dass Firefox so viel Speicher verbraucht? Malwarebyte Bericht: BEMERKUNG: ProRat war von mir selbst. Code:
ATTFilter Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1841
Windows 6.0.6001 Service Pack 1
12.03.2009 19:27:14
mbam-log-2009-03-12 (19-27-14).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|L:\|)
Durchsuchte Objekte: 635350
Laufzeit: 1 hour(s), 21 minute(s), 21 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{a75aed00-d7bf-11d1-9947-00c0cf98bbc9} (Backdoor.ProRat) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:29:22, on 12.03.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Windows\System32\rundll32.exe C:\Windows\ehome\ehtray.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Windows\ehome\ehmsas.exe C:\Program Files\Windows Live\Contacts\wlcomm.exe C:\Windows\System32\mobsync.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Windows\system32\conime.exe D:\Program Files\Mozilla Firefox\firefox.exe C:\Windows\system32\SearchFilterHost.exe C:\Users\***\Desktop\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {2E1C1935-59F6-3AC0-BAE4-D54BED45236C} - (no file) O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O13 - Gopher Prefix: O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (file missing) O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - E:\Program Files\Gravity\RO\nProtect\npkcmsvc.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe -- End of file - 3386 bytes //EDIT: Mein System: Windows Vista SP 1 Quad 2,5 intel Prozessor, 2x 2gb RAM, nV GeFore 9600 PC Auslastung:  Geändert von TehEbil (12.03.2009 um 19:45 Uhr) |
|
13.03.2009, 22:41
| #2 |
| | PC mit viren verseucht *Bump* .
__________________ |
|
16.03.2009, 09:02
| #3 |
| | PC mit viren verseucht *Hust* ist denn keiner da, der mein hjack bericht überfliegen kann?
__________________ |
|
17.03.2009, 11:53
| #4 |
| /// TB-Ausbilder     | PC mit viren verseucht Hi, wenn wir dir helfen sollen, solltest du a) dein Sicherheitskonzept überdenken und b) brauchen wir die Liste der Malware die Antivir und WindowsDefender entfernt haben. Am besten wär außerdem noch, die Liste der Sachen die NOD gefunden hatte. Ein AVP ist dafür da, dass es evtl gemachte Fehler abfängt, nicht damit man sich unfehlbar glaubt und beim Surfen das Hirn abschaltet. Wie hast du NOD deinstalliert? lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
17.03.2009, 22:38
| #5 |
| | PC mit viren verseucht nod32 habe ich unter softwares deinstalliert. die logs habe ich leider nicht gespeichert. Daran hatte ich in diesem moment garnicht dran gedacht. Aber vielleicht sind sie ja doch irgendwo vorhanden. Komischerweise ist meine externe Festplatte auch teilweise kaputt / fehlende dateien. Windows will immer eine Datenüberprüfung machen, die jedoch nicht beendet werden kann, weil nicht genügend Speicher vorhanden ist. Ich weiß nicht wirklich ob das zusammenhängd, da ich die Platte nicht an dem Zeitpunkt an meinem Rechner hatte, und sie erst angeschlossen hatte, nachdem ich den ganzen virenkram wieder entfernt hatte. Meist ladet mein Rechner (vista) dann nicht mehr und der explorer stürzt ab, was bei 4gb Ram und 4x 2.5ghz ungewöhnlich ist. Auch mein Laptop (XP) hat öfters explorer.exe abstürtze. Leider weiß ich NICHT genau, ob es was damit zu tun hat, dass ich die Externe Platte daran angeschlossen habe, meine Schwester mit ihm irgendnen scheiß angestellt hatte, oder er einfach nur zu heiß war, was auch dazu führt, dass er ein bisschen rumhängt. Windows Defender selbst hat nichts geloescht, nur meinem AV geholfen, d.H. ich hatte beide an, und die Dateien die AV nicht gefunden hat, hat Def dann gefunden und wurden dann von AV in quarantäne geschoben und gelöscht. Langsam bin ich am verzweifeln, ob das jetzt alles ein Virus ist oder ich nur wegen dem Virenvorfall alles strenger sehe. Daher bin ich mir auch nicht sicher, ob mein PC jetzt etwas länger braucht um hochzufahren und die Programme zu starten, oder es schon immer war. Vielleicht dauert es auch länger und es liegt einfach daran, dass AV gestartet wird... Wenn irgendwer noch ein paar Ideen hat, o.ä. [(wie zb. Tricks um nachzugucken um was es sich handelt (z.b. um Vire oder Festplatte putt)] kann ja gerne noch etwas dazu schreiben. Vielleicht ist es ernennenswert, dass ich meine Festplatte (intern) in ungefähr 5 Partitionen partitioniert habe. Falls ich formatiere, formatiere ich auch immer nur C. Jedoch ist mein PC dann trotzdem nicht so schnell, als ich ihn damals kaufte  BTW. Mein Windows Live meldet sich in letzter Zeit öfters ab und wenn ich ein Spiel spiele, dass dann nach mehreren Stunden abstürzt ist auf meinem Desktop plötzlich ein herrangesoomtes, ausgeschnittenes Taskmanager mit dem Tab Prozess. Finde es irgendwie komisch. Ops, sry. Hab wohl vergessen den Post hier abzuschicken. Naja glücklicherweise musste ich es nicht neuschreiben und sorry für die Verspätung. |
|
18.03.2009, 01:22
| #6 |
| /// TB-Ausbilder | PC mit viren verseucht Hi, bevor ich hier groß Anfang etwas zu suchen, würd ich halt gerne wissen was auf dem Rechner gewesen ist. Deine Platte könnte sehr wohl infiziert sein, woher weißt du so genau, dass all die Befälle nur von dem Besuch der Seite stammen? Du hättest auch schon früher dir etwas einfangen können, was NOD eben nicht gesehen hat, sondern nur Antivir. Ich benutze die beiden Programme derzeit nicht, aber bei Antivir sollte man die Logs unter "Berichte" im Programm selbst einsehen können. NOD wird die Berichte, falls noch vorhanden wahrscheinlich im Ordner C:\Programme\Eset oder NOD abgespeichert haben oder im Ordner C:\Users\benutzername\AppData\Roaming\NOD oder Eset finden. Die sicherste Variante wird immer das korrekte formatieren und Neuaufsetzen aber solange man nicht weiß was auf dem Rechner war, lässt sich schlecht sagen wie sicher das Bereinigen ist oder war. lg myrtille
__________________ --> PC mit viren verseucht |
|
21.03.2009, 13:28
| #7 |
| | PC mit viren verseucht rsit: info.txt Code:
ATTFilter info.txt logfile of random's system information tool 1.05 2009-03-19 17:37:05
======Uninstall list======
-->D:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->MsiExec /X{DD1865F0-AD73-40FB-B23E-1822E02396FF}
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 9 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A90000000001}
Assassin's Creed-->C:\Program Files\InstallShield Installation Information\{8CFA9151-6404-409A-AF22-4632D04582FD}\setup.exe -runfromtemp -l0x0007 -removeonly
Avira AntiVir Personal - Free Antivirus-->D:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
DATA BECKER TVISTA - Tuning Vista 3.0-->"D:\Program Files\DATA BECKER\TVISTA - Tuning Vista 3.0\unins000.exe"
Der Herr der Ringe® - Die Eroberung™-->MsiExec.exe /X{628C3D50-F524-4C49-A958-672CE7953756}
DivX Codec-->D:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->D:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->D:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->D:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Web Player-->D:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
eAthena Custom Itemscript Creator-->D:\Program Files\eAthena Custom Itemscript Creator\Uninstal.exe
FeelRO Client Healer-->MsiExec.exe /I{0CCD0C31-8D64-40C3-B71E-C499AFA86A87}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB945282)-->C:\Windows\system32\msiexec.exe /package {D5A7D7AB-3093-3619-9261-74DB250ECF7B} /uninstall /qb+ REBOOTPROMPT=""
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946040)-->C:\Windows\system32\msiexec.exe /package {D5A7D7AB-3093-3619-9261-74DB250ECF7B} /uninstall /qb+ REBOOTPROMPT=""
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB946308)-->C:\Windows\system32\msiexec.exe /package {D5A7D7AB-3093-3619-9261-74DB250ECF7B} /uninstall /qb+ REBOOTPROMPT=""
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947540)-->C:\Windows\system32\msiexec.exe /package {D5A7D7AB-3093-3619-9261-74DB250ECF7B} /uninstall /qb+ REBOOTPROMPT=""
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB947789)-->C:\Windows\system32\msiexec.exe /package {D5A7D7AB-3093-3619-9261-74DB250ECF7B} /uninstall /qb+ REBOOTPROMPT=""
Hotfix für Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU (KB948127)-->C:\Windows\system32\msiexec.exe /package {D5A7D7AB-3093-3619-9261-74DB250ECF7B} /uninstall /qb+ REBOOTPROMPT=""
Intel(R) Network Connections 13.4.22.0-->MsiExec.exe /i{999104C6-AC4B-43D3-B8E2-125C0EEA9A71} ARPREMOVE=1
Intel(R) Network Connections 13.4.22.0-->MsiExec.exe /i{999104C6-AC4B-43D3-B8E2-125C0EEA9A71} ARPREMOVE=1
Lexmark Printer Software Uninstall-->C:\Program Files\Lexmark\Install\uninstall.exe
Messenger Plus! Live-->"D:\Program Files\Messenger Plus! Live\Uninstall.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - deu\setup.exe
Microsoft .NET Framework 3.5 Language Pack SP1 - deu-->MsiExec.exe /I{052FDD78-A6EA-3187-8386-C82F4CA3A929}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Office Access MUI (German) 2007-->MsiExec.exe /X{90120000-0015-0407-0000-0000000FF1CE}
Microsoft Office Enterprise 2007-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall ENTERPRISE /dll OSETUP.DLL
Microsoft Office Enterprise 2007-->MsiExec.exe /X{90120000-0030-0000-0000-0000000FF1CE}
Microsoft Office Excel MUI (German) 2007-->MsiExec.exe /X{90120000-0016-0407-0000-0000000FF1CE}
Microsoft Office Groove MUI (German) 2007-->MsiExec.exe /X{90120000-00BA-0407-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (German) 2007-->MsiExec.exe /X{90120000-0044-0407-0000-0000000FF1CE}
Microsoft Office OneNote MUI (German) 2007-->MsiExec.exe /X{90120000-00A1-0407-0000-0000000FF1CE}
Microsoft Office Outlook MUI (German) 2007-->MsiExec.exe /X{90120000-001A-0407-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (German) 2007-->MsiExec.exe /X{90120000-0018-0407-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Italian) 2007-->MsiExec.exe /X{90120000-001F-0410-0000-0000000FF1CE}
Microsoft Office Proofing (German) 2007-->MsiExec.exe /X{90120000-002C-0407-0000-0000000FF1CE}
Microsoft Office Publisher MUI (German) 2007-->MsiExec.exe /X{90120000-0019-0407-0000-0000000FF1CE}
Microsoft Office Shared MUI (German) 2007-->MsiExec.exe /X{90120000-006E-0407-0000-0000000FF1CE}
Microsoft Office Word MUI (German) 2007-->MsiExec.exe /X{90120000-001B-0407-0000-0000000FF1CE}
Microsoft Silverlight-->MsiExec.exe /X{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}
Microsoft SQL Server 2008 Common Files-->MsiExec.exe /I{4A6F34E2-09E5-4616-B227-4A26A488A6F9}
Microsoft SQL Server 2008 Common Files-->MsiExec.exe /I{FF6F95A4-E59B-45C8-BEA8-0BDC8D9CAB51}
Microsoft SQL Server 2008 Database Engine Services-->MsiExec.exe /I{5BD39911-A12F-4562-98BA-A6E03E3370B1}
Microsoft SQL Server 2008 Database Engine Services-->MsiExec.exe /I{B5153233-9AEE-4CD4-9D2C-4FAAC870DBE2}
Microsoft SQL Server 2008 Database Engine Shared-->MsiExec.exe /I{477415F5-93DA-46AA-85C5-640047825995}
Microsoft SQL Server 2008 Database Engine Shared-->MsiExec.exe /I{F3494AB6-6900-41C6-AF57-823626827ED8}
Microsoft SQL Server 2008 Management Objects-->MsiExec.exe /I{F5E87B12-3C27-452F-8E78-21D42164FD83}
Microsoft SQL Server 2008 Native Client-->MsiExec.exe /I{C91C4EF4-63E1-41EE-AE6A-5152628FDC21}
Microsoft SQL Server 2008 RsFx Driver-->MsiExec.exe /I{F1DC7648-8623-442F-92B7-E118DF61872E}
Microsoft SQL Server 2008 Setup Support Files (English)-->MsiExec.exe /X{30355ED7-DE49-4C8D-BE23-2161D36E8A9A}
Microsoft SQL Server 2008-->"C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\Release\x86\SetupARP.exe" /x86
Microsoft SQL Server 2008-->"C:\Program Files\Microsoft SQL Server\100\Setup Bootstrap\Release\x86\SetupARP.exe" /X86
Microsoft SQL Server 2008-Browser-->MsiExec.exe /X{4AF2248C-B3DF-46FB-9596-87F5DB193689}
Microsoft SQL Server VSS Writer-->MsiExec.exe /I{D074DC76-F6C9-440E-A1D0-1DE958417FDB}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Express Edition mit SP1 - DEU-->D:\Program Files\Microsoft Visual Studio 9.0\Microsoft Visual C++ 2008 Express Edition with SP1 - DEU\setup.exe
Microsoft Visual C++ 2008 Express Edition with SP1 - DEU-->MsiExec.exe /X{D5A7D7AB-3093-3619-9261-74DB250ECF7B}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729-->MsiExec.exe /X{3C3D696B-0DB7-3C6D-A356-3DB8CE541918}
Microsoft Windows SDK for Visual Studio 2008 Headers and Libraries-->MsiExec.exe /X{842FAF7C-50EF-4463-9B8F-6222E1384D7D}
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for .NET Framework - deu-->MsiExec.exe /X{0E592C31-09EF-3CA1-A7DE-05D13DFCF791}
Microsoft Windows SDK for Visual Studio 2008 SP1 Express Tools for Win32-->MsiExec.exe /X{044F9133-B8D7-4d11-BF39-803FA20F5C8B}
Mirror's Edge™-->MsiExec.exe /X{AEDBD563-24BB-4EE3-8366-A654DAC2D988}
Mozilla Firefox (3.0.7)-->D:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVC80_x86-->MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
Nokia Connectivity Cable Driver-->MsiExec.exe /X{15AC0C5D-A6FB-4CE2-8CD0-28179EEB5625}
Nokia Flashing Cable Driver-->MsiExec.exe /X{D99C322D-C21B-40C7-AE71-EE51AA096B6E}
Nokia PC Suite-->C:\ProgramData\Installations\{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}\Nokia_PC_Suite_7_1_18_0_ger_web.exe
Nokia PC Suite-->MsiExec.exe /I{58FB2F9A-5F2D-40E8-82DF-4987E60AD8BD}
Nokia Software Updater-->MsiExec.exe /X{EF4F620F-F295-41D7-92C0-6B635709C850}
Notepad++-->D:\Program Files\Notepad++\uninstall.exe
NVIDIA Drivers-->C:\Windows\system32\nvuninst.exe UninstallGUI
NVIDIA PhysX v8.10.17-->MsiExec.exe /X{E4D15328-8C89-484B-B9AA-F5BE9EA6D01C}
NVIDIA PhysX-->MsiExec.exe /X{DD1865F0-AD73-40FB-B23E-1822E02396FF}
PC Connectivity Solution-->MsiExec.exe /I{D848D140-41C3-4A53-86D8-E866A100B4CD}
Protect Disc License Helper 1.0.118-->C:\Program Files\ProtectDisc\License Helper\uninst.exe
ProtectDisc Driver, Version 11-->C:\Program Files\ProtectDisc Driver Installer\uninstall_v11.exe
Ragnarok Online-->"C:\Windows\IFinst27.exe" -UE:\Program Files\Gravity\RO\IFUDF0.inf
Ragnarok Sakray-->"C:\Windows\IFinst27.exe" -UE:\Program Files\Gravity\RO\IFU63CC.inf
Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85}
Security Update for 2007 Microsoft Office System (KB951944)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {797AE457-BA17-4BBC-B501-25FB3A0103C7}
Security Update for 2007 Microsoft Office System (KB958439)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {6491B8AA-D11C-4648-A461-6234B31EB7E2}
Security Update for Microsoft Office Excel 2007 (KB958437)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {648FC016-2D6B-4A16-8D87-404533642F4B}
Security Update for Microsoft Office OneNote 2007 (KB950130)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {F1B2401C-B610-4BF2-AA1C-52C55827A8F4}
Security Update for Microsoft Office PowerPoint 2007 (KB951338)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {558B709B-821B-4FC5-90FC-9A8890641E77}
Security Update for Microsoft Office Publisher 2007 (KB950114)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {F9C3CDBA-1F00-4D4D-959D-75C9D3ACDD85}
Security Update for Microsoft Office system 2007 (KB954326)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {5F7F6FFF-395D-480E-8450-64F385D82C5F}
Security Update for Microsoft Office system 2007 (KB956828)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {885E081B-72BD-4E76-8E98-30B4BE468FAC}
Security Update for Microsoft Office Word 2007 (KB956358)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {4551666D-0FD6-4C69-8A81-1C6F2E64517C}
Security Update for Outlook 2007 (KB946983)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {66B9496E-C0C3-4065-9868-85CCA92126C3}
Sql Server Customer Experience Improvement Program-->MsiExec.exe /I{C965F01C-76EA-4BD7-973E-46236AE312D7}
SQL Server System CLR Types-->MsiExec.exe /I{342D4AD7-EC4C-4EC8-AEA6-E70F5905A490}
Unreal Tournament 3-->MsiExec.exe /X{BFA90209-7AFF-4DB6-8E4B-E57305751AD7}
Update for Office 2007 (KB934391)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {B3091818-7C56-4C45-BE7D-CA23027A5EA5}
Update for Office 2007 (KB946691)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {A420F522-7395-4872-9882-C591B4B92278}
Update for Outlook 2007 Junk Email Filter (kb962871)-->msiexec /package {90120000-0030-0000-0000-0000000FF1CE} /uninstall {297857BF-4011-449B-BD74-DB64D182821C}
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
WarRock-->C:\Program Files\InstallShield Installation Information\{00D15456-F679-4AD4-8BD2-56450D4C3F72}\setup.exe -runfromtemp -l0x0009 -removeonly
Windows Live Call-->MsiExec.exe /I{5FC68772-6D56-41C6-9DF1-24E868198AE6}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Program Files\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{91E04CA7-0B13-4F8C-AA4D-2A573AC96D19}
Windows Live Messenger-->MsiExec.exe /X{837B6259-6FF5-4E66-87C1-A5A15ED36FF4}
Windows Live OneCare safety scanner-->"C:\Program Files\Windows Live Safety Center\UnInstall.exe"
Windows Live OneCare safety scanner-->MsiExec.exe /X{FE0646A7-19D0-41B4-A2BB-2C35D644270D}
Windows-Treiberpaket - Nokia Modem (10/27/2008 3.9)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository\nokia_bluetooth.inf_544c8e16\nokia_bluetooth.inf
Windows-Treiberpaket - Nokia Modem (10/27/2008 7.01.0.1)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\System32\DriverStore\FileRepository\nokbtmdm.inf_0e4dd4bb\nokbtmdm.inf
Windows-Treiberpaket - Nokia pccsmcfd (08/22/2008 7.0.0.0)-->C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\Windows\system32\DRVSTORE\pccsmcfd_A3B3916E5D8138F59EE218321B27B044D3B18294\pccsmcfd.inf
WinRAR-->D:\Program Files\WinRAR\uninstall.exe
======Security center information======
AS: Windows-Defender (disabled)
System event log
Computer Name: BENUTZER***-PC
Event Code: 2000
Message: Der Aufruf eines Systemdiensts durch den Serverdienst ist unerwartet fehlgeschlagen.
Record Number: 67634
Source Name: srv
Time Written: 20090319163137.924172-000
Event Type: Fehler
User:
Computer Name: BENUTZER***-PC
Event Code: 2000
Message: Der Aufruf eines Systemdiensts durch den Serverdienst ist unerwartet fehlgeschlagen.
Record Number: 67635
Source Name: srv
Time Written: 20090319163138.111372-000
Event Type: Fehler
User:
Computer Name: BENUTZER***-PC
Event Code: 2000
Message: Der Aufruf eines Systemdiensts durch den Serverdienst ist unerwartet fehlgeschlagen.
Record Number: 67636
Source Name: srv
Time Written: 20090319163149.031372-000
Event Type: Fehler
User:
Computer Name: BENUTZER***-PC
Event Code: 2000
Message: Der Aufruf eines Systemdiensts durch den Serverdienst ist unerwartet fehlgeschlagen.
Record Number: 67637
Source Name: srv
Time Written: 20090319163149.031372-000
Event Type: Fehler
User:
Computer Name: BENUTZER***-PC
Event Code: 2000
Message: Der Aufruf eines Systemdiensts durch den Serverdienst ist unerwartet fehlgeschlagen.
Record Number: 67638
Source Name: srv
Time Written: 20090319163149.031372-000
Event Type: Fehler
User:
Application event log
Computer Name: BENUTZER***-PC
Event Code: 9688
Message: Der Service Broker-Manager wurde gestartet.
Record Number: 16287
Source Name: MSSQL$SQLEXPRESS
Time Written: 20090319155729.000000-000
Event Type: Informationen
User:
Computer Name: BENUTZER***-PC
Event Code: 1003
Message: Der Windows-Suchdienst wurde gestartet.
Record Number: 16288
Source Name: Microsoft-Windows-Search
Time Written: 20090319155734.000000-000
Event Type: Informationen
User:
Computer Name: BENUTZER***-PC
Event Code: 1
Message: Der Zertifikatdiensteclient wurde erfolgreich gestartet.
Record Number: 16289
Source Name: Microsoft-Windows-CertificateServicesClient
Time Written: 20090319155808.132372-000
Event Type: Informationen
User: BENUTZER***-PC\Benutzer ***
Computer Name: BENUTZER***-PC
Event Code: 1001
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden entfernt. Die Daten enthalten die neuen Werte der Registrierungseinträge "Last Counter" und "Last Help".
Record Number: 16290
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090319160223.000000-000
Event Type: Informationen
User:
Computer Name: BENUTZER***-PC
Event Code: 1000
Message: Die Leistungsindikatoren für den Dienst WmiApRpl (WmiApRpl) wurden erfolgreich geladen. Die Eintragsdaten im Datenbereich enthalten die neuen Indexwerte, die diesem Dienst zugeordnet sind.
Record Number: 16291
Source Name: Microsoft-Windows-LoadPerf
Time Written: 20090319160223.000000-000
Event Type: Informationen
User:
Security event log
Computer Name: BENUTZER***-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 14434
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090319163703.912772-000
Event Type: Überwachung gescheitert
User:
Computer Name: BENUTZER***-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 14435
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090319163703.943972-000
Event Type: Überwachung gescheitert
User:
Computer Name: BENUTZER***-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 14436
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090319163703.959572-000
Event Type: Überwachung gescheitert
User:
Computer Name: BENUTZER***-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 14437
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090319163703.990772-000
Event Type: Überwachung gescheitert
User:
Computer Name: BENUTZER***-PC
Event Code: 5038
Message: Die Codeintegrität hat festgestellt, dass der Abbildhash einer Datei nicht gültig ist. Die Datei wurde möglicherweise durch eine nicht autorisierte Änderung beschädigt. Dieses Problem kann auch auf einen potenziellen Fehler des Datenträgergeräts hinweisen.
Dateiname: \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys
Record Number: 14438
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090319163704.006372-000
Event Type: Überwachung gescheitert
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=C:\Program Files\PC Connectivity Solution\;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Intel\DMIX;C:\Program Files\Microsoft SQL Server\100\Tools\Binn\;C:\Program Files\Microsoft SQL Server\100\DTS\Binn\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 7, GenuineIntel
"PROCESSOR_REVISION"=1707
"NUMBER_OF_PROCESSORS"=4
"VS90COMNTOOLS"=D:\Program Files\Microsoft Visual Studio 9.0\Common7\Tools\
-----------------EOF-----------------
|
|
21.03.2009, 13:30
| #8 |
| | PC mit viren verseucht mit GM meinte ich den GMER Scanner  naja hier mal die loggs; Btw. da man maximal 25000 Zeichen schreiben kann, musste ich das in 3 Threads aufteilen. Gmer Anmerkung: Hatte leider Windows Live + plus an. Beim ersten scannen hatte ich die nicht an, und dort wurde auch keinen eintrag über msn etc. geschrieben. Jedoch hab ich diese trotzdem mal NICHT ausgelassen. Code:
ATTFilter GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-20 22:14:02
Windows 6.0.6001 Service Pack 1
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] kernel32.dll!FindResourceExA 765808DD 7 Bytes JMP 28001D80 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] kernel32.dll!FindResourceA 765809A5 5 Bytes JMP 28001CF0 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] kernel32.dll!CreateEventA 76594AD8 5 Bytes JMP 28001840 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] kernel32.dll!LockResource 76597F1F 5 Bytes JMP 28001F50 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] kernel32.dll!FindResourceExW 7659813B 1 Byte [E9]
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] kernel32.dll!FindResourceExW 7659813B 7 Bytes JMP 28001C60 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] kernel32.dll!LoadResource 76598213 7 Bytes JMP 28001E20 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] kernel32.dll!FindResourceW 765997C7 5 Bytes JMP 28001BE0 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] kernel32.dll!SizeofResource 765997E5 7 Bytes JMP 28001EE0 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] ADVAPI32.dll!CryptDeriveKey 7680E6F6 7 Bytes JMP 28001000 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] ADVAPI32.dll!CryptDecrypt 7680E8D9 7 Bytes JMP 28001060 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] USER32.dll!SetWindowPlacement 76C379BB 5 Bytes JMP 28005DC0 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] USER32.dll!SetWindowRgn 76C395E2 7 Bytes JMP 28005F00 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] USER32.dll!LoadImageW 76C3D61D 5 Bytes JMP 28006690 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] USER32.dll!LoadIconW 76C3EC94 5 Bytes JMP 28006880 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] USER32.dll!CreateWindowExW 76C43D67 5 Bytes JMP 28003CA0 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] USER32.dll!GetWindowLongW 76C4F67F 7 Bytes JMP 28006A20 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] USER32.dll!PeekMessageW 76C4FD9F 5 Bytes JMP 280045E0 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] USER32.dll!TrackPopupMenuEx 76C60F4D 5 Bytes JMP 28004EC0 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] USER32.dll!CreateDialogParamW 76C61C58 5 Bytes JMP 28006040 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] USER32.dll!MessageBoxIndirectW 76C8D56B 5 Bytes JMP 28006230 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] WS2_32.dll!closesocket 7663330C 5 Bytes JMP 2800BC20 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] WS2_32.dll!recv 7663343A 5 Bytes JMP 2800B440 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] WS2_32.dll!WSASend 76634496 5 Bytes JMP 2800B9E0 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] WS2_32.dll!send 7663659B 5 Bytes JMP 2800B800 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] WS2_32.dll!WSARecv 76638400 5 Bytes JMP 2800B5E0 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] SHELL32.dll!Shell_NotifyIconW 76D7C808 5 Bytes JMP 28003400 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] ole32.dll!CoRegisterClassObject 762E45AC 5 Bytes JMP 28002360 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] ole32.dll!CoInitializeEx 7631B89A 5 Bytes JMP 28002260 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] ole32.dll!CoCreateInstance 7631E188 5 Bytes JMP 28002600 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] WININET.dll!HttpOpenRequestA 767406D6 5 Bytes JMP 2800A2C0 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] WININET.dll!InternetCloseHandle 7674607B 5 Bytes JMP 2800A600 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] WININET.dll!InternetReadFile 7674A067 5 Bytes JMP 2800A450 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] WININET.dll!HttpSendRequestA 767508C5 3 Bytes JMP 2800A530 D:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[820] WININET.dll!HttpSendRequestA + 4 767508C9 1 Byte [B1]
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00805a4616ab
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00805a4616ab@0014a704be96 0x7D 0x37 0xF9 0x8C ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\00805a4616ab
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\00805a4616ab@0014a704be96 0x7D 0x37 0xF9 0x8C ...
Anmerkung: Sonst hat das Programm leider nichts gefunden... Weiß leider nicht, ob das normal ist. Code:
ATTFilter Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0
; Results at 21.03.2009 13:21:25 for strings:
; 'a75aed00-d7bf-11d1-9947-00c0cf98bbc9'
; Strings excluded from search:
; 'a75aed00-d7bf-11d1-9947-00c0cf98bbc9'
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
; End Of The Log...
|
|
23.03.2009, 12:18
| #9 |
| /// TB-Ausbilder | PC mit viren verseucht Die Logs sind soweit sauber. Ich hoffe du hast Messenger Plus ohne seinen "Sponsor" installiert, sonst wirst du dich demnächst an Popups erfreuen können. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
24.03.2009, 22:19
| #10 |
| | PC mit viren verseucht hehe okay danke, jep habe ich natürlich ohne sponsor installiert Der pc scheint soweit sauber zu sein. Im autostart ist nichts auffälliges und auch den system32 ordner hab ich ein paar mal überprüft. Bis zur nächsten erfolgreichen Windows Version wird das wohl noch standhalten, da ich sowieso im schlimmsten Fall keine Kontodaten o.ä. wichtiges eingebe Danke nochmal für alles |
|
24.03.2009, 22:46
| #11 |
| /// TB-Ausbilder | PC mit viren verseucht ja, ich würd davon abraten irgendwelche Passwörter oder ähnliches auf dem Rechner einzugeben. Aber das ist letzendlich deine Entscheidung... Die genutzten Programme kannst du deinstallieren / löschen. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
| Themen zu PC mit viren verseucht |
| adobe, auslastung, avira, avira programm, backdoor.prorat, bho, components, defender, desktop, dll, hijack, hängen, infiziert, internet, internet explorer, locker, logfile, mozilla, nvidia, programm, prozessor, registrierungsschlüssel, rundll, sekunden, software, task-manager, viren, virus, vista, windows, windows defender, windows sidebar |
Hybrid-Darstellung
