|
Plagegeister aller Art und deren Bekämpfung: Irgendwas umgeht Firewall? Hilfe!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.08.2009, 15:03 | #1 |
| Irgendwas umgeht Firewall? Hilfe! Hatte gestern von Antivir ne Warnung bekommen-hab da leider nicht wirklich hingeschaut, in Quarantäne verschoben und gut war. Als ich den PC wieder gestartet habe, war mir aufgefallen, daß er ne Zeit lang angezeigt hat, daß keine Firewall aktiviert ist und dann konnte er den Scheduler von Antivir nicht mehr laden. Kann jetzt auch kein manuelles Update durchführen. Beim msconfig in den Systemstart geschaut und mir war folgender Eintrag aufgefallen: 15ba012c19.exe liegt bei den Dokumenten und Einstellungen bei macromedia\common die Zeitangaben der Datei zusammen mit einer andern Datei gleinen Namens nur mit der Endung dll stimmen mt der Warnung von gestern überein. Spybot zeigt da was von Microsoft.Windows.AppsFirewallBypass an. Wenn ich den Eintrag bei msconig oder über Hijack deaktiviere, steht er beim nächsten Mal wieder drin. Auch die Dateien tauchen nach einem Löschen immer wieder auf. AntiVir zieht beim Scan leider keine Infos an, auch nicht wenn ich die Dateien online scannen lasse. Hier mal das Hijak-Log-der Eintrag ist der letzte der mit 04 beginnt: Logfile of HijackThis v1.99.1 Scan saved at 15:36:00, on 09.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\RTHDCPL.EXE D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe D:\Programme\Gemeinsame Dateien\AOL\1207310827\ee\AOLSoftware.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe D:\Programme\Unlocker\UnlockerAssistant.exe D:\Programme\FreePDF_XP\fpassist.exe D:\Programme\Avira\AntiVir Desktop\avgnt.exe D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\DAEMON Tools Lite\daemon.exe D:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\Programme\Eraser\eraser.exe D:\Programme\AOL 9.0 VRa\waol.exe D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe D:\Programme\Avira\AntiVir Desktop\avguard.exe D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe D:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe D:\WINDOWS\system32\svchost.exe D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe D:\WINDOWS\system32\wuauclt.exe D:\Programme\AOL 9.0 VRa\shellmon.exe D:\Programme\Mozilla Firefox\firefox.exe D:\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 61.166.68.71:80 O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [HostManager] D:\Programme\Gemeinsame Dateien\AOL\1207310827\ee\AOLSoftware.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [FreePDF Assistant] D:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Eraser] D:\Programme\Eraser\eraser.exe -hide O4 - HKCU\..\Run: [AOL Fast Start] "D:\Programme\AOL 9.0 VRa\AOL.EXE" -b O4 - HKCU\..\Run: [WAB] D:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Macromedia\Common\15ba012c19.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - hxxp://www3.snapfish.de/SnapfishActivia.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207298301836 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - D:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - AppInit_DLLs: D:\PROGRA~1\Sophos\SOPHOS~1\detoured.dll O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Software Updater (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: SQL Server (MSSQLSERVER) (MSSQLSERVER) - Unknown owner - D:\Programme\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\sqlservr.exe" -sMSSQLSERVER (file missing) O23 - Service: SQL Server Agent (MSSQLSERVER) (SQLSERVERAGENT) - Unknown owner - D:\Programme\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\SQLAGENT.EXE" -i MSSQLSERVER (file missing) Und hier was Spybot sagt: --- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) --- 2009-01-26 blindman.exe (1.0.0.8) 2009-01-26 SDFiles.exe (1.6.1.7) 2009-01-26 SDMain.exe (1.0.0.6) 2009-01-26 SDShred.exe (1.0.2.5) 2009-01-26 SDUpdate.exe (1.6.0.12) 2009-01-26 SpybotSD.exe (1.6.2.46) 2009-03-05 TeaTimer.exe (1.6.6.32) 2009-05-28 unins000.exe (51.49.0.0) 2009-01-26 Update.exe (1.6.0.7) 2009-07-28 advcheck.dll (1.6.3.17) 2007-04-02 aports.dll (2.1.0.0) 2008-06-14 DelZip179.dll (1.79.11.1) 2009-01-26 SDHelper.dll (1.6.2.14) 2008-06-19 sqlite3.dll 2009-01-26 Tools.dll (2.1.6.10) 2009-01-16 UninsSrv.dll (1.0.0.0) 2009-05-19 Includes\Adware.sbi 2009-07-30 Includes\AdwareC.sbi 2009-01-22 Includes\Cookies.sbi 2009-05-19 Includes\Dialer.sbi 2009-08-04 Includes\DialerC.sbi 2009-01-22 Includes\HeavyDuty.sbi 2009-05-26 Includes\Hijackers.sbi 2009-08-04 Includes\HijackersC.sbi 2009-06-23 Includes\Keyloggers.sbi 2009-07-30 Includes\KeyloggersC.sbi 2004-11-29 Includes\LSP.sbi 2009-07-14 Includes\Malware.sbi 2009-08-05 Includes\MalwareC.sbi 2009-03-25 Includes\PUPS.sbi 2009-08-04 Includes\PUPSC.sbi 2009-01-22 Includes\Revision.sbi 2009-01-13 Includes\Security.sbi 2009-07-30 Includes\SecurityC.sbi 2008-06-03 Includes\Spybots.sbi 2008-06-03 Includes\SpybotsC.sbi 2009-04-07 Includes\Spyware.sbi 2009-08-04 Includes\SpywareC.sbi 2009-06-08 Includes\Tracks.uti 2009-07-22 Includes\Trojans.sbi 2009-08-05 Includes\TrojansC.sbi 2008-03-04 Plugins\Chai.dll 2008-03-05 Plugins\Fennel.dll 2008-02-26 Plugins\Mate.dll 2007-12-24 Plugins\TCPIPAddress.dll Located: HK_LM:Run, Acronis Scheduler2 Service command: "D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" file: D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe size: 165144 MD5: A07455DE91F08C66014C993758F6DE26 Located: HK_LM:Run, AcronisTimounterMonitor command: D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe file: D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe size: 962480 MD5: 387702682FEAF6CED49F66D2C3AECA5D Located: HK_LM:Run, Adobe Reader Speed Launcher command: "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" file: D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe size: 39792 MD5: 8B9145D229D4E89D15ACB820D4A3A90F Located: HK_LM:Run, Alcmtr command: ALCMTR.EXE file: D:\WINDOWS\ALCMTR.EXE size: 69632 MD5: 8B4CBBA1EA526830C7F97E7822E2493A Located: HK_LM:Run, AtiPTA command: atiptaxx.exe file: D:\WINDOWS\system32\atiptaxx.exe size: 344064 MD5: 755750EC06ED1649D83AB6DF7BBA6516 Located: HK_LM:Run, avgnt command: "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min file: D:\Programme\Avira\AntiVir Desktop\avgnt.exe size: 209153 MD5: 29680A793F690EEF4AAA68479D2A6DF8 Located: HK_LM:Run, FreePDF Assistant command: D:\Programme\FreePDF_XP\fpassist.exe file: D:\Programme\FreePDF_XP\fpassist.exe size: 357376 MD5: 3E5D1B90329F320A49FB993D488E9709 Located: HK_LM:Run, GrooveMonitor command: "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" file: D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe size: 33648 MD5: 35DCD380D4D579D8B8EA91D5D8AE444C Located: HK_LM:Run, HostManager command: D:\Programme\Gemeinsame Dateien\AOL\1207310827\ee\AOLSoftware.exe file: D:\Programme\Gemeinsame Dateien\AOL\1207310827\ee\AOLSoftware.exe size: 50736 MD5: C482C535CBFEFE722EC1EB7F11F680A3 Located: HK_LM:Run, QuickTime Task command: "D:\Programme\QuickTime\qttask.exe" -atboottime file: D:\Programme\QuickTime\qttask.exe size: 413696 MD5: 6DF76965A0FB8237E9C3B3CAB9815EC2 Located: HK_LM:Run, RTHDCPL command: RTHDCPL.EXE file: D:\WINDOWS\RTHDCPL.EXE size: 16269312 MD5: 1A297CE654D5C04DBC9B17FDC0932D6E Located: HK_LM:Run, SkyTel command: SkyTel.EXE file: D:\WINDOWS\SkyTel.EXE size: 2879488 MD5: C74B86642F131D76C0EDE673FDF137B2 Located: HK_LM:Run, StartCCC command: "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun file: D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe size: 61440 MD5: 81926E469DD4C9BEF12C02DA5D3B5CC6 Located: HK_LM:Run, SunJavaUpdateSched command: "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" file: D:\Programme\Java\jre1.6.0_07\bin\jusched.exe size: 144784 MD5: 6AB4C021FBD36DC6764924C312428D97 Located: HK_LM:Run, TrueImageMonitor.exe command: D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe file: D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe size: 4378000 MD5: BBDD506DBDED449E808ADC251169916C Located: HK_LM:Run, UnlockerAssistant command: "D:\Programme\Unlocker\UnlockerAssistant.exe" file: D:\Programme\Unlocker\UnlockerAssistant.exe size: 15872 MD5: 403E928BA217E38485009636C793F3C9 Located: HK_CU:Run, CTFMON.EXE where: .DEFAULT... command: D:\WINDOWS\system32\CTFMON.EXE file: D:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, rundll32.exe where: .DEFAULT... command: file: size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_CU:Run, WAB where: .DEFAULT... command: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe file: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe size: 3072 MD5: DA8C1589552134572C6F998F9C308BB2 Located: HK_CU:Run, WAB (DISABLED) where: .DEFAULT... command: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe file: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe size: 3072 MD5: DA8C1589552134572C6F998F9C308BB2 Located: HK_CU:Run, CTFMON.EXE where: S-1-5-19... command: D:\WINDOWS\system32\CTFMON.EXE file: D:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, CTFMON.EXE where: S-1-5-20... command: D:\WINDOWS\system32\CTFMON.EXE file: D:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, AnyDVD where: S-1-5-21-823518204-606747145-839522115-1003... command: D:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe file: D:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe size: 2161600 MD5: 901167B81D8FE17F6006CED47B6615A1 Located: HK_CU:Run, AOL Fast Start where: S-1-5-21-823518204-606747145-839522115-1003... command: "D:\Programme\AOL 9.0 VRa\AOL.EXE" -b file: D:\Programme\AOL 9.0 VRa\AOL.EXE size: 50480 MD5: C84F100FF7A65DF5FAD4682041CA51E4 Located: HK_CU:Run, BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} where: S-1-5-21-823518204-606747145-839522115-1003... command: "D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" file: D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_CU:Run, CTFMON.EXE where: S-1-5-21-823518204-606747145-839522115-1003... command: D:\WINDOWS\system32\ctfmon.exe file: D:\WINDOWS\system32\ctfmon.exe size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, DAEMON Tools Lite where: S-1-5-21-823518204-606747145-839522115-1003... command: "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun file: D:\Programme\DAEMON Tools Lite\daemon.exe size: 486856 MD5: B3507538A9BA346A898150032869A523 Located: HK_CU:Run, Eraser where: S-1-5-21-823518204-606747145-839522115-1003... command: D:\Programme\Eraser\eraser.exe -hide file: D:\Programme\Eraser\eraser.exe size: 334224 MD5: 84B60E4861CF95513AB79A6EB0C87F9B Located: HK_CU:Run, rundll32.exe where: S-1-5-21-823518204-606747145-839522115-1003... command: file: size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_CU:Run, SpybotSD TeaTimer where: S-1-5-21-823518204-606747145-839522115-1003... command: D:\Programme\Spybot - Search & Destroy\TeaTimer.exe file: D:\Programme\Spybot - Search & Destroy\TeaTimer.exe size: 2260480 MD5: 390679F7A217A5E73D756276C40AE887 Located: HK_CU:Run, WAB where: S-1-5-21-823518204-606747145-839522115-1003... command: D:\Dokumente und Einstellungen\Patrick\Anwendungsdaten\Macromedia\Common\15ba012c19.exe file: D:\Dokumente und Einstellungen\Patrick\Anwendungsdaten\Macromedia\Common\15ba012c19.exe size: 3072 MD5: DA8C1589552134572C6F998F9C308BB2 Located: HK_CU:Run, WAB (DISABLED) where: S-1-5-21-823518204-606747145-839522115-1003... command: D:\Dokumente und Einstellungen\Patrick\Anwendungsdaten\Macromedia\Common\15ba012c19.exe file: D:\Dokumente und Einstellungen\Patrick\Anwendungsdaten\Macromedia\Common\15ba012c19.exe size: 3072 MD5: DA8C1589552134572C6F998F9C308BB2 Located: HK_CU:Run, CTFMON.EXE where: S-1-5-21-823518204-606747145-839522115-500... command: D:\WINDOWS\system32\CTFMON.EXE file: D:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, CTFMON.EXE where: S-1-5-18... command: D:\WINDOWS\system32\CTFMON.EXE file: D:\WINDOWS\system32\CTFMON.EXE size: 15360 MD5: 01B4E6E990B6C5EA8856D96C7FD044B2 Located: HK_CU:Run, rundll32.exe where: S-1-5-18... command: file: size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: HK_CU:Run, WAB where: S-1-5-18... command: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe file: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe size: 3072 MD5: DA8C1589552134572C6F998F9C308BB2 Located: HK_CU:Run, WAB (DISABLED) where: S-1-5-18... command: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe file: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe size: 3072 MD5: DA8C1589552134572C6F998F9C308BB2 Located: WinLogon, AtiExtEvent command: Ati2evxx.dll file: Ati2evxx.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, crypt32chain command: crypt32.dll file: crypt32.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, cryptnet command: cryptnet.dll file: cryptnet.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, cscdll command: cscdll.dll file: cscdll.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, dimsntfy command: %SystemRoot%\System32\dimsntfy.dll file: %SystemRoot%\System32\dimsntfy.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, ScCertProp command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, Schedule command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, sclgntfy command: sclgntfy.dll file: sclgntfy.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, SensLogn command: WlNotify.dll file: WlNotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, termsrv command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, WgaLogon command: WgaLogon.dll file: WgaLogon.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, wlballoon command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Geändert von Path (09.08.2009 um 15:17 Uhr) |
11.08.2009, 12:52 | #2 |
/// Helfer-Team | Irgendwas umgeht Firewall? Hilfe! Hallo und Herzlich Willkommen!
__________________- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 2. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 3. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 5.
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post: → vor dein log schreibst du:[code] hier kommt dein logfile rein → dahinter:[/code] ** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
Themen zu Irgendwas umgeht Firewall? Hilfe! |
0 bytes, adobe, antivir, antivir guard, avg, avira, bho, browser, desktop, einstellungen, eraser, explorer, fast start, firefox, google, hijack, hijackthis, immer wieder, internet, internet explorer, keine firewall, locker, mozilla, object, rundll, scan, senden, server, stimme, warnung, windows xp |