|
Antiviren-, Firewall- und andere Schutzprogramme: Auf Larusso's Einladung hin ....Windows 7 Sämtliche Fragen zur Bedienung von Firewalls, Anti-Viren Programmen, Anti Malware und Anti Trojaner Software sind hier richtig. Dies ist ein Diskussionsforum für Sicherheitslösungen für Windows Rechner. Benötigst du Hilfe beim Trojaner entfernen oder weil du dir einen Virus eingefangen hast, erstelle ein Thema in den oberen Bereinigungsforen. |
29.07.2009, 21:36 | #1 |
| Auf Larusso's Einladung hin .... Hallo Larusso ( und oder andere Helfer ) vorab ein paar Auffälligkeiten nach den ersten Hilfsaktionen 1.Seit diesen Aktionen habe ich auf meinem Desktop einen Verweis zu einem Dateiorder "Backup" , da sind einige kleine Datein drin , Name ist Datum + irgendwelche Zahlenfolgen. Aber das beunruhigt mich noch nicht, aber 2. Seit den Aktionen habe ich, schon bei den verschiedenen Neustarts gestern auch beim Hochfahren heute die Anfrage meiner Firewall "Generic Host Process for WIN 32 möchte als Server fungieren". Habe das bisher immer abgelehnt, sicherheitshalber 3. Die Firewall hat auch heute wieder wegen dieser komischen (vermeintlichen ? )Hewlett-Packard Datei gemeckert. Zugriff habe ich verweigert. 4. Habe mal schnell Google aufgerufen. Änderung der Safesearchstufe hat funktioniert ( das hat es aber seit meinem ersten Posting auch ab und zu , so wie nach Lust und Laune ) 5. und das ist etwas komisch. Malwarebytes hing eine ganze Weile auf einem Pfad c.\dolumente und einstellungen\........\temporary internetfiles\content.ie5 Habe das mal überprüft. Ich habe in dem angegebenen Order nur einen Unterordner "Temp" ( damit könnte ich noch leben ) aber darin keinen weiteren Ordner content.ie5. Aber Malwarebytes hat dort schätzungsweise mehrere hundert Datein gescannt. Bin - wie gewohnt - etwas ratlos Mir kam noch was dazwischen. Logfile aus Malwarebytes kommt hoffentlich gleich, läuft relativ lange ( s.o. ) |
29.07.2009, 22:02 | #2 |
/// Selecta Jahrusso | Auf Larusso's Einladung hin ....Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab. Poste bitte alle Logfiles in Code-Tags. Klicke antworten --> # danach [code]text[/code] So sollte das dann hier aussehen nach dem antworten: Code:
ATTFilter deine Logfile schritt 1 Navigiere zu C:\RSIT und lösche die log.txt und info.txt Doppelklick auf die RSIT.exe Poste beide Logfiles
__________________ |
29.07.2009, 22:03 | #3 |
| Auf Larusso's Einladung hin .... so jetzt noch das log file
__________________Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2527 Windows 5.1.2600 Service Pack 3 29.07.2009 23:02:21 mbam-log-2009-07-29 (23-02-21).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 167004 Laufzeit: 1 hour(s), 55 minute(s), 43 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\programme\DivX\divx converter\pS2Xx.ddc (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Patch.cmd (Trojan.Agent) -> Quarantined and deleted successfully. Jetzt will ich nur noch schlafen , bin müde. Gute Nacht Eric |
29.07.2009, 22:06 | #4 |
| Auf Larusso's Einladung hin .... huch eine Minute zu spät ok RSIT lass ich auch nochmal laufen und Malwarebytes poste ich dann noch im richtigen Format aber bitte erst morgen |
30.07.2009, 19:04 | #5 |
| Auf Larusso's Einladung hin ....Code:
ATTFilter Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2527 Windows 5.1.2600 Service Pack 3 29.07.2009 23:02:21 mbam-log-2009-07-29 (23-02-21).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 167004 Laufzeit: 1 hour(s), 55 minute(s), 43 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\programme\DivX\divx converter\pS2Xx.ddc (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Patch.cmd (Trojan.Agent) -> Quarantined and deleted successfully. |
30.07.2009, 19:14 | #6 |
| Auf Larusso's Einladung hin ....Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by Eric Goerke at 2009-07-30 20:05:51 Microsoft Windows XP Home Edition Service Pack 3 System drive C: has 91 GB (77%) free of 117 GB Total RAM: 511 MB (51% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:06:24, on 30.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\ATI-CPanel\atiptaxx.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\AOL\1189262536\ee\AOLSoftware.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\System32\HPZipm12.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\...\Desktop\RSIT.exe C:\Dokumente und Einstellungen\...\Desktop\...x.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1189262536\ee\AOLSoftware.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: officejet 6100.lnk = ? O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{296E279C-7B31-4F68-951F-38CD08330ACA}: NameServer = 62.109.123.6 213.191.92.87 O17 - HKLM\System\CCS\Services\Tcpip\..\{B46AFDB8-B6E3-47AC-8CEA-D12DCE3CE753}: NameServer = 0.0.0.0 O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe -- End of file - 5203 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 2200 series#1053626280.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}] Adobe PDF Link Helper - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2009-02-27 75128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C554162-8CB7-45A4-B8F4-8EA1C75885F9}] AOL Toolbar Launcher - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll [2007-03-14 970752] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-07-28 41368] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-07-28 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {DE9C389F-3316-41A7-809B-AA305ED9D922} - AOL Toolbar - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll [2007-03-14 970752] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "Wizard"= [] "SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2002-11-19 46592] "ATIPTA"=C:\ATI-CPanel\atiptaxx.exe [2003-01-16 294912] "Share-to-Web Namespace Daemon"=C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe [2002-04-11 69632] "Microsoft Works Update Detection"=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe [2002-07-24 28672] "NeroCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648] "InCD"=C:\Programme\Ahead\InCD\InCD.exe [2003-01-15 1220608] "AOLDialer"=C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe [2007-06-21 70952] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2005-11-01 98304] "HostManager"=C:\Programme\Gemeinsame Dateien\AOL\1189262536\ee\AOLSoftware.exe [2006-11-14 50736] "ZoneAlarm Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2009-03-31 982408] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-07-28 148888] "Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe [2009-02-27 35696] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart hp psc 2000 Series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE officejet 6100.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "HonorAutoRunSetting"= [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Virenschutz\AVKPop.exe"="C:\Programme\Virenschutz\AVKPop.exe:*:Enabled:AVK POP3 Server" "C:\Programme\AOL 9.0\waol.exe"="C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0" "C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL" "C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL" "C:\Programme\AOL 9.0 VR\waol.exe"="C:\Programme\AOL 9.0 VR\waol.exe:*:Enabled:AOL" "C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\aoltpsd3.exe"="C:\Programme\Gemeinsame Dateien\aol\TopSpeed\3.0\aoltpsd3.exe:*:Enabled:AOL TopSpeed" "C:\Programme\Gemeinsame Dateien\aol\Loader\aolload.exe"="C:\Programme\Gemeinsame Dateien\aol\Loader\aolload.exe:*:Enabled:AOL Loader" "C:\Programme\Gemeinsame Dateien\aol\System Information\sinf.exe"="C:\Programme\Gemeinsame Dateien\aol\System Information\sinf.exe:*:Enabled:AOL System Information" "C:\Programme\Gemeinsame Dateien\aol\1189262536\ee\aolsoftware.exe"="C:\Programme\Gemeinsame Dateien\aol\1189262536\ee\aolsoftware.exe:*:Enabled:AOL Shared Components" "C:\Programme\AOL 9.0 VRa\waol.exe"="C:\Programme\AOL 9.0 VRa\waol.exe:*:Enabled:AOL" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\WINDOWS\system32\ZoneLabs\vsmon.exe"="C:\WINDOWS\system32\ZoneLabs\vsmon.exe:*:Enabled:TrueVector Service" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL" "C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" ======List of files/folders created in the last 3 months====== 2009-07-29 20:59:41 ----D---- C:\Dokumente und Einstellungen\...\Anwendungsdaten\Malwarebytes 2009-07-29 20:58:54 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-07-29 20:58:53 ----D---- C:\Programme\Malwarebytes' Anti-Malware 2009-07-29 20:25:58 ----D---- C:\Programme\Antimalware 2009-07-28 20:03:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe 2009-07-28 19:44:28 ----A---- C:\WINDOWS\system32\javaws.exe 2009-07-28 19:44:28 ----A---- C:\WINDOWS\system32\javaw.exe 2009-07-28 19:44:28 ----A---- C:\WINDOWS\system32\deploytk.dll 2009-07-28 19:44:27 ----A---- C:\WINDOWS\system32\java.exe 2009-07-28 19:41:33 ----D---- C:\Programme\Java 2009-07-26 21:26:14 ----D---- C:\rsit 2009-07-18 20:57:49 ----HDC---- C:\WINDOWS\$NtUninstallKB971633$ 2009-07-16 22:06:38 ----HDC---- C:\WINDOWS\$NtUninstallKB973346$ 2009-07-16 22:00:01 ----HDC---- C:\WINDOWS\$NtUninstallKB961371$ 2009-07-11 23:09:22 ----D---- C:\WINDOWS\ie8updates 2009-07-11 10:45:23 ----HDC---- C:\WINDOWS\ie8 2009-06-11 21:39:53 ----HDC---- C:\WINDOWS\$NtUninstallKB961501$ 2009-06-11 21:37:22 ----HDC---- C:\WINDOWS\$NtUninstallKB969898$ 2009-06-11 21:30:29 ----HDC---- C:\WINDOWS\$NtUninstallKB970238$ 2009-06-11 21:22:40 ----HDC---- C:\WINDOWS\$NtUninstallKB968537$ ======List of files/folders modified in the last 3 months====== 2009-07-30 20:04:41 ----D---- C:\WINDOWS\Internet Logs 2009-07-30 20:01:48 ----D---- C:\WINDOWS\system32\ZoneLabs 2009-07-30 19:50:24 ----A---- C:\rollback.ini 2009-07-30 19:45:33 ----D---- C:\Programme\Mozilla Firefox 2009-07-30 19:42:29 ----A---- C:\WINDOWS\ModemLog_MSP3885-E 56K PCI Modem.txt 2009-07-30 19:42:20 ----D---- C:\WINDOWS\Temp 2009-07-29 23:09:38 ----D---- C:\WINDOWS\system32\drivers 2009-07-29 23:09:01 ----A---- C:\WINDOWS\SchedLgU.Txt 2009-07-29 22:17:54 ----A---- C:\WINDOWS\win.ini 2009-07-29 20:58:53 ----RD---- C:\Programme 2009-07-29 20:05:10 ----D---- C:\WINDOWS 2009-07-29 20:02:45 ----AD---- C:\WINDOWS\system32 2009-07-28 21:35:25 ----HD---- C:\WINDOWS\inf 2009-07-28 21:35:14 ----RSHDC---- C:\WINDOWS\system32\dllcache 2009-07-28 21:35:11 ----D---- C:\Programme\Internet Explorer 2009-07-28 21:34:11 ----HD---- C:\WINDOWS\$hf_mig$ 2009-07-28 21:34:09 ----D---- C:\WINDOWS\system32\CatRoot2 2009-07-28 20:37:18 ----SD---- C:\WINDOWS\Downloaded Program Files 2009-07-28 20:22:09 ----D---- C:\Programme\Virenschutz 2009-07-28 20:17:57 ----D---- C:\Programme\0190 Warner präsentiert von AOL 2009-07-28 20:15:34 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-07-28 20:15:01 ----D---- C:\WINDOWS\Prefetch 2009-07-28 20:13:56 ----SHD---- C:\WINDOWS\Installer 2009-07-28 20:07:06 ----D---- C:\Programme\Gemeinsame Dateien\Adobe 2009-07-28 20:05:35 ----D---- C:\WINDOWS\WinSxS 2009-07-28 20:00:08 ----D---- C:\Programme\Adobe 2009-07-28 19:25:35 ----D---- C:\Programme\Gemeinsame Dateien 2009-07-28 19:18:19 ----D---- C:\Dokumente und Einstellungen\...\Anwendungsdaten\Adobe 2009-07-28 19:18:18 ----A---- C:\WINDOWS\AcrobatSetupStatus.ini 2009-07-26 16:21:26 ----D---- C:\WINDOWS\system32\Restore 2009-07-19 18:41:10 ----A---- C:\WINDOWS\system32\ieframe.dll 2009-07-19 15:11:12 ----A---- C:\WINDOWS\system32\mshtml.dll 2009-07-18 20:58:14 ----A---- C:\WINDOWS\imsins.BAK 2009-07-11 11:28:33 ----D---- C:\WINDOWS\system32\de-de 2009-07-11 11:28:31 ----D---- C:\WINDOWS\Media 2009-07-11 11:28:30 ----D---- C:\WINDOWS\Help 2009-07-07 17:10:56 ----A---- C:\WINDOWS\system32\MRT.exe 2009-07-03 18:55:22 ----A---- C:\WINDOWS\system32\wininet.dll 2009-07-03 18:55:22 ----A---- C:\WINDOWS\system32\occache.dll 2009-07-03 18:55:21 ----A---- C:\WINDOWS\system32\urlmon.dll 2009-07-03 18:55:16 ----A---- C:\WINDOWS\system32\msfeedsbs.dll 2009-07-03 18:55:16 ----A---- C:\WINDOWS\system32\msfeeds.dll 2009-07-03 18:55:15 ----A---- C:\WINDOWS\system32\jsproxy.dll 2009-07-03 18:55:14 ----A---- C:\WINDOWS\system32\iertutil.dll 2009-07-03 18:55:12 ----A---- C:\WINDOWS\system32\iepeers.dll 2009-07-03 18:55:08 ----A---- C:\WINDOWS\system32\iedkcs32.dll 2009-07-03 13:01:06 ----A---- C:\WINDOWS\system32\ie4uinit.exe 2009-06-16 16:36:10 ----A---- C:\WINDOWS\system32\t2embed.dll 2009-06-16 16:36:10 ----A---- C:\WINDOWS\system32\fontsub.dll 2009-06-11 21:26:17 ----D---- C:\WINDOWS\ie7updates 2009-06-03 21:09:37 ----A---- C:\WINDOWS\system32\quartz.dll 2009-05-07 17:32:03 ----A---- C:\WINDOWS\system32\localspl.dll 2009-05-01 22:18:28 ----D---- C:\WINDOWS\system32\wbem 2009-05-01 14:40:56 ----D---- C:\WINDOWS\system32\CatRoot ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 AFS2K;AFS2k; C:\WINDOWS\system32\drivers\AFS2K.sys [2003-05-22 82380] R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2008-04-14 40448] R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-03-31 150544] R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2009-03-31 353672] R2 ASCTRM;ASCTRM; C:\WINDOWS\system32\drivers\ASCTRM.sys [2003-11-03 8552] R2 BsUDF;InCD UDF Driver; C:\WINDOWS\system32\drivers\BsUDF.sys [2003-01-15 468480] R2 Cnxtdiag;Cnxtdiag; C:\WINDOWS\System32\DRIVERS\cnxtdiag.sys [2001-07-03 17776] R2 Fallback;Fallback; C:\WINDOWS\System32\DRIVERS\fallback.sys [2001-06-24 308403] R2 Fsks;Fsks; C:\WINDOWS\System32\DRIVERS\fsksnt.sys [2001-06-24 124189] R2 K56;K56; C:\WINDOWS\System32\DRIVERS\k56nt.sys [2001-06-24 427215] R2 MVDCODEC;ATI WDM Specialized MVD Codec; C:\WINDOWS\System32\DRIVERS\atinmdxx.sys [2002-12-03 13824] R2 SoftFax;SoftFax; C:\WINDOWS\System32\DRIVERS\faxnt.sys [2001-06-24 215195] R2 Tones;Tones; C:\WINDOWS\System32\DRIVERS\tonesnt.sys [2001-06-24 59375] R2 V124;V124; C:\WINDOWS\System32\DRIVERS\v124nt.sys [2001-07-16 539917] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2002-11-27 730700] R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800] R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2002-12-18 546560] R3 atinrvxx;ATI WDM Rage Theater Video; C:\WINDOWS\System32\DRIVERS\atinrvxx.sys [2002-12-03 101888] R3 basic2;basic2; C:\WINDOWS\System32\DRIVERS\basic2.sys [2001-07-16 76610] R3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\System32\DRIVERS\HPZid412.sys [2002-02-15 50960] R3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\System32\DRIVERS\HPZipr12.sys [2002-03-21 16112] R3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\System32\DRIVERS\HPZius12.sys [2002-03-08 22512] R3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128] R3 ms_mpu401;Microsoft MPU-401 MIDI UART-Treiber; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944] R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824] R3 Rksample;Rksample; C:\WINDOWS\System32\DRIVERS\rksample.sys [2001-07-15 67222] R3 rtl8139;Realtek RTL8139/810x Family Fast Ethernet NIC NT Driver; C:\WINDOWS\System32\DRIVERS\R8139n51.SYS [2002-10-04 46976] R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-13 32128] R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152] R3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2008-04-13 25856] R3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2008-04-13 15104] R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] R3 wanatw;WAN Miniport (ATW); C:\WINDOWS\System32\DRIVERS\wanatw4.sys [2003-04-23 33588] R3 winachsf;winachsf; C:\WINDOWS\System32\DRIVERS\HSF_CNXT.sys [2001-07-30 585840] S3 CCDECODE;Untertiteldecoder; C:\WINDOWS\System32\DRIVERS\CCDECODE.sys [2008-04-13 17024] S3 GDInterceptor;GDInterceptor; \??\C:\WINDOWS\System32\interceptor.sys [] S3 hsf_msft;hsf_msft; C:\WINDOWS\System32\DRIVERS\HSF_MSFT.sys [2001-08-17 542879] S3 MSTEE;Microsoft Streaming Tee/Sink-to-Sink-Konvertierung; C:\WINDOWS\system32\drivers\MSTEE.sys [2008-04-13 5504] S3 NABTSFEC;NABTS/FEC VBI-Codec; C:\WINDOWS\System32\DRIVERS\NABTSFEC.sys [2008-04-13 85248] S3 NdisIP;Microsoft TV-/Videoverbindung; C:\WINDOWS\System32\DRIVERS\NdisIP.sys [2008-04-13 10880] S3 PDNMp50;PDNMp50 NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\PDNMp50.sys [] S3 PDNSp50;PDNSp50 NDIS Protocol Driver; \??\C:\WINDOWS\system32\drivers\PDNSp50.sys [] S3 SLIP;BDA Slip De-Framer; C:\WINDOWS\System32\DRIVERS\SLIP.sys [2008-04-13 11136] S3 streamip;BDA-IPSink; C:\WINDOWS\System32\DRIVERS\StreamIP.sys [2008-04-13 15232] S3 WSTCODEC;World Standard Teletext-Codec; C:\WINDOWS\System32\DRIVERS\WSTCODEC.SYS [2008-04-13 19200] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\System32\DRIVERS\sr.sys [2008-04-14 73472] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 AOL ACS;AOL Connectivity Service; C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe [2006-10-23 46640] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-07-28 152984] R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2009-03-31 2404232] R2 WANMiniportService;WAN Miniport (ATW) Service; C:\WINDOWS\wanmpsvc.exe [2003-08-27 65536] R3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\System32\HPZipm12.exe [2002-03-15 81920] S2 Fax;Fax; C:\WINDOWS\system32\fxssvc.exe [2008-04-14 268800] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] -----------------EOF----------------- |
30.07.2009, 19:21 | #7 |
| Auf Larusso's Einladung hin ....Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2009-07-30 20:06:31 ======Uninstall list====== -->"C:\Programme\AOL\AOL Toolbar 4.0\uninstall.exe" -->C:\Programme\DivX\ConverterUninstall.exe /CONVERTER -->C:\WINDOWS\IsUn0407.exe -fC:\WINDOWS\orun32.isu -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe Adobe Reader 9.1 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A91000000001} Ahead InCD-->C:\WINDOWS\NuNInst.exe /UNINSTALL AIM Installationslink entfernen-->C:\PROGRA~1\GEMEIN~1\aolshare\AIM\UNWISE.EXE /S /A C:\PROGRA~1\GEMEIN~1\aolshare\AIM\INSTALL.LOG Alice-Installationsdateien entfernen-->C:\Programme\Gemeinsame Dateien\Alice\uninst.exe AOL Coach Version 1.0(Build:20040229.1 de)-->"C:\Programme\Gemeinsame Dateien\aolshare\Coach\AolCInUn.exe" -lang="de-de" AOL Deinstallation-->C:\Programme\Gemeinsame Dateien\AOL\uninstaller.exe AOL Installations-Manager-->C:\Programme\AOL\AOL Installations-Manager\uninst.exe AOL Instant Messenger (AIM)-->C:\Programme\AIM95\uninstll.exe -LOG= C:\Programme\AIM95\install.log -OEM= AOL Meine Fotos Bildschirmschoner-->C:\Programme\Gemeinsame Dateien\AOL\Screensaver\uninst_ygpss.exe Arasan 5.3-->C:\WINDOWS\uninst.exe -f"C:\Programme\Arasan\Arasan 5.3\DeIsL1.isu" -c"C:\Programme\Arasan\Arasan 5.3\_ISREG32.DLL" ATI Control Panel-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" ATI Display Driver-->rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean DivX Codec-->C:\Programme\DivX\DivXCodecUninstall.exe /CODEC DivX Content Uploader-->C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER DivX Converter-->C:\Programme\DivX\ConverterUninstall.exe /CONVERTER DivX Player-->C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER DivX Web Player-->C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN Google Toolbar for Firefox-->MsiExec.exe /X{2CCBABCB-6427-4A55-B091-49864623C43F} HijackThis 2.0.2-->"C:\Dokumente und Einstellungen\...\Desktop\HijackThis.exe" /uninstall Hotfix for Windows Media Format 11 SDK (KB929399)-->"C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe" Hotfix für Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe" Hotfix für Windows Media Player 11 (KB939683)-->"C:\WINDOWS\$NtUninstallKB939683$\spuninst\spuninst.exe" Hotfix für Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe" HP Foto- und Bildbearbeitung 1.0 - [PRODUKTSERIE]-->MsiExec.exe /X{82DFB852-9594-4668-9C66-28BB6E94BCB2} HP Foto und Bildbearbeitung 1.0 - HP PSC - HP OfficeJet-->C:\Programme\Hewlett-Packard\Digital Imaging\AiODriver\Drivers\Uninst\deu\hposcr01.exe -forcereboot -datfile hposcr01.dat HP Foto- und Bildbearbeitung 1.0 HP PSC - HP OfficeJet Treiber -->MsiExec.exe /X{ED93995E-8BF2-480F-8EA4-7D29E29A7052} hp psc 2200 series-->rundll32 hpzcon05.dll,VendorJettison hp psc 2200 series Java(TM) 6 Update 14-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF} Learn2 Player (Uninstall Only)-->C:\Programme\Learn2.com\StRunner\stuninst.exe Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe" Microsoft AutoRoute 2002-->MsiExec.exe /I{F7F2DC0A-C22E-49AD-AD37-797309A54E7B} Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe" Microsoft Data Access Components KB870669-->C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf Microsoft Encarta Enzyklopädie 2003-->MsiExec.exe /I{03440014-3975-4267-9F39-1DC4745090B7} Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe" Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe" Microsoft Office 2000 Disc 2-->MsiExec.exe /I{00040407-78E1-11D2-B60F-006097C998E7} Microsoft Office 2000 Professional-->MsiExec.exe /I{00010407-78E1-11D2-B60F-006097C998E7} Microsoft Picture It! Foto 7.0-->MsiExec.exe /I{369B36BE-3D64-4641-9AEA-808D436FE132} Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe" Microsoft Word 2002-->MsiExec.exe /I{911B0407-6000-11D3-8CFE-0050048383C9} Microsoft Works 2003-Setup-Start-->C:\Programme\Microsoft Works Suite 2003\Setup\Launcher.exe c:\works\ Microsoft Works 7.0 -->MsiExec.exe /I{EDDDC607-91D9-4758-9F57-265FDCD8A772} Microsoft Works Suite-Add-Ins für Microsoft Word-->MsiExec.exe /I{7CDBE27D-87EC-434E-AFE4-D0116AE876BB} Mozilla Firefox (3.0.12)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe MSP3885-E 56K PCI Modem-->C:\Program Files\CONEXANT\CNXT_MODEM_PCI_VEN_14F1&DEV_2F00&SUBSYS_8D88122D\HxfSETUP.EXE -U -IVEN_14F1&DEV_2F00&SUBSYS_8D88122D MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F} MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF} MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71} Nero - Burning Rom-->MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0} QuickTime-->C:\WINDOWS\unvise32qt.exe C:\WINDOWS\system32\QuickTime\Uninstall.log Readiris 7.5-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9BFFB382-0B2C-11D6-AB3E-000102B0F79A}\setup.exe" -l0x7 RealPlayer Basic-->C:\Programme\Gemeinsame Dateien\Real\Update\\rnuninst.exe RealNetworks|RealPlayer|6.0 Shockwave-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log Sicherheitsupdate für Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe" Sicherheitsupdate für Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)-->"C:\WINDOWS\ie7updates\KB929969\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)-->"C:\WINDOWS\ie7updates\KB931768-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)-->"C:\WINDOWS\ie7updates\KB937143-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)-->"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)-->"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)-->"C:\WINDOWS\ie7updates\KB958215-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)-->"C:\WINDOWS\ie7updates\KB960714-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)-->"C:\WINDOWS\ie7updates\KB963027-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)-->"C:\WINDOWS\ie7updates\KB969897-IE7\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe" Sicherheitsupdate für Windows Media Player 9 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP9$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB941569)-->"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376)-->"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB958690)-->"C:\WINDOWS\$NtUninstallKB958690$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961373)-->"C:\WINDOWS\$NtUninstallKB961373$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe" Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe" Tetra blocks-->C:\WINDOWS\uninst.exe -f"C:\Programme\Tetra blocks\DeIsL1.isu" -c"C:\Programme\Tetra blocks\_ISREG32.DLL" Update für Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe" Update für Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe" Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe" Update für Windows XP (KB967715)-->"C:\WINDOWS\$NtUninstallKB967715$\spuninst\spuninst.exe" VC 9.0 Runtime-->MsiExec.exe /I{02E89EFC-7B07-4D5A-AA03-9EC0902914EE} Viewpoint Media Player-->C:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u Wichtiges Update für Windows Media Player 11 (KB959772)-->"C:\WINDOWS\$NtUninstallKB959772_WM11$\spuninst\spuninst.exe" Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe" Windows Media Format 11 runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe" Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe" Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe" ZoneAlarm Security Suite-->C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe =====HijackThis Backups===== R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank [2009-07-28] O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe [2009-07-28] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 [2009-07-28] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 [2009-07-28] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 [2009-07-28] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank [2009-07-28] O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe [2009-07-28] R3 - URLSearchHook: (no name) - {1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - (no file) [2009-07-28] R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank [2009-07-28] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 [2009-07-28] O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab [2009-07-28] O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab [2009-07-28] O19 - User stylesheet: (file missing) [2009-07-28] ======Security center information====== AV: ZoneAlarm Security Suite Antivirus FW: ZoneAlarm Security Suite Firewall ======System event log====== Computer Name: xxx Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "TrueVector Internet Monitor" gesendet. Record Number: 217047 Source Name: Service Control Manager Time Written: 20090411105205.000000+120 Event Type: Informationen User: xxx\xxx Computer Name: xxx Event Code: 7034 Message: Dienst "TrueVector Internet Monitor" wurde unerwartet beendet. Dies ist bereits 216 Mal passiert. Record Number: 217046 Source Name: Service Control Manager Time Written: 20090411105202.000000+120 Event Type: Fehler User: Computer Name: xxx Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "TrueVector Internet Monitor" gesendet. Record Number: 217045 Source Name: Service Control Manager Time Written: 20090411105202.000000+120 Event Type: Informationen User: xxx\xxx Computer Name: xxx Event Code: 7034 Message: Dienst "TrueVector Internet Monitor" wurde unerwartet beendet. Dies ist bereits 215 Mal passiert. Record Number: 217044 Source Name: Service Control Manager Time Written: 20090411105159.000000+120 Event Type: Fehler User: Computer Name: xxx Event Code: 7035 Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "TrueVector Internet Monitor" gesendet. Record Number: 217043 Source Name: Service Control Manager Time Written: 20090411105158.000000+120 Event Type: Informationen User: xxx\xxx =====Application event log===== Computer Name: xxx Event Code: 102 Message: wuaueng.dll (3312) SUS20ClientDataStore: Das Datenbankmodul hat eine neue Instanz gestartet (0). Record Number: 1292 Source Name: ESENT Time Written: 20050215192354.000000+060 Event Type: Informationen User: Computer Name: xxx Event Code: 100 Message: wuauclt (3312) Das Datenbankmodul 5.01.2600.2180 ist gestartet. Record Number: 1291 Source Name: ESENT Time Written: 20050215192354.000000+060 Event Type: Informationen User: Computer Name: xxx Event Code: 101 Message: wuauclt (2376) Das Datenbankmodul wurde beendet. Record Number: 1290 Source Name: ESENT Time Written: 20050215182215.000000+060 Event Type: Informationen User: Computer Name: xxx Event Code: 103 Message: wuaueng.dll (2376) SUS20ClientDataStore: Das Datenbankmodul hat die Instanz (0) beendet. Record Number: 1289 Source Name: ESENT Time Written: 20050215182215.000000+060 Event Type: Informationen User: Computer Name: xxx Event Code: 302 Message: wuaueng.dll (2376) SUS20ClientDataStore: Das Datenbankmodul hat erfolgreich die Schritte zur Wiederherstellung abgeschlossen. Record Number: 1288 Source Name: ESENT Time Written: 20050215181705.000000+060 Event Type: Informationen User: ======Environment variables====== "ComSpec"=%SystemRoot%\system32\cmd.exe "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\ATI-CPanel "windir"=%SystemRoot% "OS"=Windows_NT "PROCESSOR_ARCHITECTURE"=x86 "PROCESSOR_LEVEL"=15 "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 7, GenuineIntel "PROCESSOR_REVISION"=0207 "NUMBER_OF_PROCESSORS"=1 "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH "TEMP"=%SystemRoot%\TEMP "TMP"=%SystemRoot%\TEMP "FP_NO_HOST_CHECK"=NO "tvdumpflags"=8 -----------------EOF----------------- |
30.07.2009, 20:26 | #8 | ||
/// Selecta Jahrusso | Auf Larusso's Einladung hin ....Zitat:
Definiere einfach eine Standardregel in Deiner Firewall zu "generic host process. So ist jz auch nichts zu finden. Zitat:
und bitte noch folgendes: Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
30.07.2009, 20:47 | #9 |
| Auf Larusso's Einladung hin .... Also der Backup-Ordner liegt c:\Dokumente und Einstellungen\Name\Desktop irgendwo habe ich was gelesen dass hijack this ja auch irgendwelche backups erstellt , eine Programmbibliothek ist drin, mit 3,7 MB , der Rest soweit sehr klein Den Kaspersky-Scanner lade ich dann mal. Was hat das mit dem Verzeichnis zu bedeuten, in dem Malwarebytes ewig gescannt hat, das ich in dem Pfad gar nicht finde ?? Und Einstellungen speichern in Google ging gestern, heute wieder nicht ( trotz Positivmeldung ) auch nach akzeptieren dieser HP Datei. Das mit dem Generic Host Process. Heisst das, ich sollte all die Scans nochmal machen nachdem ich das geändert habe ? Danke vorab und "Pfiati" Eric |
30.07.2009, 21:01 | #10 |
/// Selecta Jahrusso | Auf Larusso's Einladung hin .... Schau ma se moi den BackUp Ordner au Start --> ausführen --> notepad (reinschreiben) Kopiere nun folgenden Text in das leere Textdokument. Code:
ATTFilter cd \ dir "%userprofile%\Desktop\Backup /s /b > "%userprofile%\desktop\file.txt" notepad "%userprofile%\desktop\file.txt" Bei Dateityp bitte alle Dateien auswählen. Speichere die iwas.bat auf dem Desktop --> doppelklick --> inhalt des file.txt posten Das Verzeichnis sind temporäre internet Dateien, um das kümmern wir uns noch.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
03.08.2009, 12:56 | #11 |
| Auf Larusso's Einladung hin .... Hallo, entschuldigung, dass ich mich so lange nicht meldete, war übers Wochenende nicht da. Also beides hat, wie zu erwarten, nicht funktioniert. Ich bin scheinbar zu allem zu blöd. Kaspersky download geht nicht wegen falscher Sicherheitsstufe Internet und/oder fehlenden Administratorrechten. Über Systemsteuerung konnte ich die Sicherheitssturfe nicht ändern. Wenn ich es auf mittel setze und dann überprüfen will, ist sofort wieder mittelhoch drin. Das ich keine Administratorrechte haben soll, ist mir schleierhaft. Kann ich das überprüfen und ändern ?? Beim Ausführen der iwas.bat Datei öffnet sich nur ein leerer file-Editor und eine cmd.exe. Irgendwo da steht "Die Syntax für den Dateinamen, Verzeichnisnamen oder die Datenträgerbezeichung ist falsch." Bin total frustriert und verzweifelt. Eric |
03.08.2009, 14:03 | #12 |
/// Selecta Jahrusso | Auf Larusso's Einladung hin .... hy mein fehler Ist die iwas.bat noch am Desktop? dann bitte rechtsklick --> bearbeiten Lösche den Inhalt und kopiere folgendes hinein. Code:
ATTFilter cd \ dir "%userprofile%\Desktop\backup" /s /b > file.txt notepad file.txt schritt 2 Rootkit-Suche Was sind Rootkits? Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
Nun das Logfile in Code-Tags posten.
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
03.08.2009, 18:10 | #13 |
| Auf Larusso's Einladung hin .... Also nach eine Modifikation meiner Firewall hab ich den Kaspersky nochmal versucht herunterzuladen. Hat funktioniert. Hier das log-file. Code:
ATTFilter ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Montag, 3. August 2009 19:06:23 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600) Version von Kaspersky Online Scanner: 5.0.98.2 Letztes Update der Antiviren-Datenbanken: 3/08/2009 Anzahl der Einträge in den Antiviren-Datenbanken: 2335924 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: A:\ C:\ D:\ E:\ F:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 73901 Viren gefunden: 0 Infizierte Objekte gefunden: 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 02:17:19 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\ACS\1.0\ph Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\ACS\1.0\variable Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\idb\SNMaster.idx Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\idb\WebSchlumpf\mydb.idx Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\idb\WebSchlumpf\style.lst Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\idb\WebSchlumpf\toolbar.lst Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\organize\CACHE\webschlum05 Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\organize\web schlumpf.abi Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\organize\web schlumpf.aby Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0 VRa\organize\webschlumpf Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Anwendungsdaten\AOL\C_AOL 9.0 VRa\IDB\Apps.Lst Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Anwendungsdaten\AOL\C_AOL 9.0 VRa\IDB\art.idx Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Anwendungsdaten\AOL\C_AOL 9.0 VRa\IDB\sap.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Anwendungsdaten\AOL\C_AOL 9.0 VRa\IDB\spool.lst Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Anwendungsdaten\AOL\C_AOL 9.0 VRa\IDB\sysnews.lst Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Anwendungsdaten\MailFrontier\ASD.log Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\IETldCache\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\AOL\UserProfiles\All Users\cls\common.cls Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Vorgeschlagene Sites~.feed-ms Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds\{5588ACFD-6436-411B-A5CE-666AE6A92D3D}~\WebSlices~\Web Slice-Katalog~.feed-ms Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\RecoveryStore.{09850BA7-8034-11DE-841D-00038A000015}.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{09850BA8-8034-11DE-841D-00038A000015}.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\Recovery\Active\{D159A204-8037-11DE-841D-00038A000015}.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\Perflib_Perfdata_90c.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF334B.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF58CF.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF6718.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF672F.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF67EC.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF6890.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF6AB9.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF6B87.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DF6DD.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temp\~DFF70E.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Eric Goerke\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\GUARDIAN.ldb Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\Perflib_Perfdata_690.dat Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT0755b.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
03.08.2009, 18:15 | #14 |
| Auf Larusso's Einladung hin .... und das mit dem Ordner funktioniert natürlich auch , wenn ich meinen Fehler ausbügle ( Ordner heißt "backups" und nicht backup, hatte ich die ganze Zeit falsch geschrieben). Zusammen mit deiner Änderung läuft das, und log-file sieht so aus. Code:
ATTFilter C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203714-261 C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-442 C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-531 C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-563 C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-740 C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-751 C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-753 C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-760 C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-830 C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-926 C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-930 C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-930.dll C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203715-930.inf C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203716-243 C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203716-243.dll C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203716-243.inf C:\Dokumente und Einstellungen\Eric Goerke\Desktop\backups\backup-20090728-203716-512 |
03.08.2009, 18:35 | #15 |
| Auf Larusso's Einladung hin ....Code:
ATTFilter GMER 1.0.15.15011 [8nm2pkw4.exe] - http://www.gmer.net Rootkit scan 2009-08-03 19:26:03 Windows 5.1.2600 Service Pack 3 ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD) ---- EOF - GMER 1.0.15 ---- Check Point Software ist ja der Hersteller von Zonealarm. Na das glaube ich jetzt aber weniger, dass die mit ihrem Produkt auch gleich noch Malware verhöckern ( damit das System was zu tun hat, regelmäßig anschlägt und damit der User vom Nutzen des Produktes ständig überzeugt wird ? ). Verwirrt und ungläubig Eric |
Themen zu Auf Larusso's Einladung hin .... |
desktop, einstellungen, files, firewall, folge, frage, funktioniert, generic, generic host, generic host process, google, heute, hochfahren, kleine, komische, leben, logfile, malwarebytes, process, ratlos, relativ, schnell, server, temporary, verschiedene, win, win 32, zugriff |