Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Irgendwas umgeht Firewall? Hilfe!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.08.2009, 15:03   #1
Path
 
Irgendwas umgeht Firewall? Hilfe! - Standard

Irgendwas umgeht Firewall? Hilfe!



Hatte gestern von Antivir ne Warnung bekommen-hab da leider nicht wirklich hingeschaut, in Quarantäne verschoben und gut war.
Als ich den PC wieder gestartet habe, war mir aufgefallen, daß er ne Zeit lang angezeigt hat, daß keine Firewall aktiviert ist und dann konnte er den Scheduler von Antivir nicht mehr laden. Kann jetzt auch kein manuelles Update durchführen.
Beim msconfig in den Systemstart geschaut und mir war folgender Eintrag aufgefallen:
15ba012c19.exe liegt bei den Dokumenten und Einstellungen bei macromedia\common
die Zeitangaben der Datei zusammen mit einer andern Datei gleinen Namens nur mit der Endung dll stimmen mt der Warnung von gestern überein.
Spybot zeigt da was von Microsoft.Windows.AppsFirewallBypass an. Wenn ich den Eintrag bei msconig oder über Hijack deaktiviere, steht er beim nächsten Mal wieder drin. Auch die Dateien tauchen nach einem Löschen immer wieder auf.

AntiVir zieht beim Scan leider keine Infos an, auch nicht wenn ich die Dateien online scannen lasse.

Hier mal das Hijak-Log-der Eintrag ist der letzte der mit 04 beginnt:
Logfile of HijackThis v1.99.1
Scan saved at 15:36:00, on 09.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\Gemeinsame Dateien\AOL\1207310827\ee\AOLSoftware.exe
D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\Programme\Unlocker\UnlockerAssistant.exe
D:\Programme\FreePDF_XP\fpassist.exe
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Eraser\eraser.exe
D:\Programme\AOL 9.0 VRa\waol.exe
D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
D:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\AOL 9.0 VRa\shellmon.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 61.166.68.71:80
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [HostManager] D:\Programme\Gemeinsame Dateien\AOL\1207310827\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] D:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AnyDVD] D:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Eraser] D:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [AOL Fast Start] "D:\Programme\AOL 9.0 VRa\AOL.EXE" -b
O4 - HKCU\..\Run: [WAB] D:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - hxxp://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1207298301836
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - D:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\Sophos\SOPHOS~1\detoured.dll
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Software Updater (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SQL Server (MSSQLSERVER) (MSSQLSERVER) - Unknown owner - D:\Programme\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\sqlservr.exe" -sMSSQLSERVER (file missing)
O23 - Service: SQL Server Agent (MSSQLSERVER) (SQLSERVERAGENT) - Unknown owner - D:\Programme\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Binn\SQLAGENT.EXE" -i MSSQLSERVER (file missing)


Und hier was Spybot sagt:

--- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) ---

2009-01-26 blindman.exe (1.0.0.8)
2009-01-26 SDFiles.exe (1.6.1.7)
2009-01-26 SDMain.exe (1.0.0.6)
2009-01-26 SDShred.exe (1.0.2.5)
2009-01-26 SDUpdate.exe (1.6.0.12)
2009-01-26 SpybotSD.exe (1.6.2.46)
2009-03-05 TeaTimer.exe (1.6.6.32)
2009-05-28 unins000.exe (51.49.0.0)
2009-01-26 Update.exe (1.6.0.7)
2009-07-28 advcheck.dll (1.6.3.17)
2007-04-02 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-26 SDHelper.dll (1.6.2.14)
2008-06-19 sqlite3.dll
2009-01-26 Tools.dll (2.1.6.10)
2009-01-16 UninsSrv.dll (1.0.0.0)
2009-05-19 Includes\Adware.sbi
2009-07-30 Includes\AdwareC.sbi
2009-01-22 Includes\Cookies.sbi
2009-05-19 Includes\Dialer.sbi
2009-08-04 Includes\DialerC.sbi
2009-01-22 Includes\HeavyDuty.sbi
2009-05-26 Includes\Hijackers.sbi
2009-08-04 Includes\HijackersC.sbi
2009-06-23 Includes\Keyloggers.sbi
2009-07-30 Includes\KeyloggersC.sbi
2004-11-29 Includes\LSP.sbi
2009-07-14 Includes\Malware.sbi
2009-08-05 Includes\MalwareC.sbi
2009-03-25 Includes\PUPS.sbi
2009-08-04 Includes\PUPSC.sbi
2009-01-22 Includes\Revision.sbi
2009-01-13 Includes\Security.sbi
2009-07-30 Includes\SecurityC.sbi
2008-06-03 Includes\Spybots.sbi
2008-06-03 Includes\SpybotsC.sbi
2009-04-07 Includes\Spyware.sbi
2009-08-04 Includes\SpywareC.sbi
2009-06-08 Includes\Tracks.uti
2009-07-22 Includes\Trojans.sbi
2009-08-05 Includes\TrojansC.sbi
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

Located: HK_LM:Run, Acronis Scheduler2 Service
command: "D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
file: D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
size: 165144
MD5: A07455DE91F08C66014C993758F6DE26

Located: HK_LM:Run, AcronisTimounterMonitor
command: D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
file: D:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
size: 962480
MD5: 387702682FEAF6CED49F66D2C3AECA5D

Located: HK_LM:Run, Adobe Reader Speed Launcher
command: "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
file: D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
size: 39792
MD5: 8B9145D229D4E89D15ACB820D4A3A90F

Located: HK_LM:Run, Alcmtr
command: ALCMTR.EXE
file: D:\WINDOWS\ALCMTR.EXE
size: 69632
MD5: 8B4CBBA1EA526830C7F97E7822E2493A

Located: HK_LM:Run, AtiPTA
command: atiptaxx.exe
file: D:\WINDOWS\system32\atiptaxx.exe
size: 344064
MD5: 755750EC06ED1649D83AB6DF7BBA6516

Located: HK_LM:Run, avgnt
command: "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
file: D:\Programme\Avira\AntiVir Desktop\avgnt.exe
size: 209153
MD5: 29680A793F690EEF4AAA68479D2A6DF8

Located: HK_LM:Run, FreePDF Assistant
command: D:\Programme\FreePDF_XP\fpassist.exe
file: D:\Programme\FreePDF_XP\fpassist.exe
size: 357376
MD5: 3E5D1B90329F320A49FB993D488E9709

Located: HK_LM:Run, GrooveMonitor
command: "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
file: D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
size: 33648
MD5: 35DCD380D4D579D8B8EA91D5D8AE444C

Located: HK_LM:Run, HostManager
command: D:\Programme\Gemeinsame Dateien\AOL\1207310827\ee\AOLSoftware.exe
file: D:\Programme\Gemeinsame Dateien\AOL\1207310827\ee\AOLSoftware.exe
size: 50736
MD5: C482C535CBFEFE722EC1EB7F11F680A3

Located: HK_LM:Run, QuickTime Task
command: "D:\Programme\QuickTime\qttask.exe" -atboottime
file: D:\Programme\QuickTime\qttask.exe
size: 413696
MD5: 6DF76965A0FB8237E9C3B3CAB9815EC2

Located: HK_LM:Run, RTHDCPL
command: RTHDCPL.EXE
file: D:\WINDOWS\RTHDCPL.EXE
size: 16269312
MD5: 1A297CE654D5C04DBC9B17FDC0932D6E

Located: HK_LM:Run, SkyTel
command: SkyTel.EXE
file: D:\WINDOWS\SkyTel.EXE
size: 2879488
MD5: C74B86642F131D76C0EDE673FDF137B2

Located: HK_LM:Run, StartCCC
command: "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
file: D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
size: 61440
MD5: 81926E469DD4C9BEF12C02DA5D3B5CC6

Located: HK_LM:Run, SunJavaUpdateSched
command: "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
file: D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
size: 144784
MD5: 6AB4C021FBD36DC6764924C312428D97

Located: HK_LM:Run, TrueImageMonitor.exe
command: D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
file: D:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
size: 4378000
MD5: BBDD506DBDED449E808ADC251169916C

Located: HK_LM:Run, UnlockerAssistant
command: "D:\Programme\Unlocker\UnlockerAssistant.exe"
file: D:\Programme\Unlocker\UnlockerAssistant.exe
size: 15872
MD5: 403E928BA217E38485009636C793F3C9

Located: HK_CU:Run, CTFMON.EXE
where: .DEFAULT...
command: D:\WINDOWS\system32\CTFMON.EXE
file: D:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, rundll32.exe
where: .DEFAULT...
command:
file:
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_CU:Run, WAB
where: .DEFAULT...
command: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
file: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
size: 3072
MD5: DA8C1589552134572C6F998F9C308BB2

Located: HK_CU:Run, WAB (DISABLED)
where: .DEFAULT...
command: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
file: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
size: 3072
MD5: DA8C1589552134572C6F998F9C308BB2

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-19...
command: D:\WINDOWS\system32\CTFMON.EXE
file: D:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-20...
command: D:\WINDOWS\system32\CTFMON.EXE
file: D:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, AnyDVD
where: S-1-5-21-823518204-606747145-839522115-1003...
command: D:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
file: D:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
size: 2161600
MD5: 901167B81D8FE17F6006CED47B6615A1

Located: HK_CU:Run, AOL Fast Start
where: S-1-5-21-823518204-606747145-839522115-1003...
command: "D:\Programme\AOL 9.0 VRa\AOL.EXE" -b
file: D:\Programme\AOL 9.0 VRa\AOL.EXE
size: 50480
MD5: C84F100FF7A65DF5FAD4682041CA51E4

Located: HK_CU:Run, BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}
where: S-1-5-21-823518204-606747145-839522115-1003...
command: "D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
file: D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-21-823518204-606747145-839522115-1003...
command: D:\WINDOWS\system32\ctfmon.exe
file: D:\WINDOWS\system32\ctfmon.exe
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, DAEMON Tools Lite
where: S-1-5-21-823518204-606747145-839522115-1003...
command: "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
file: D:\Programme\DAEMON Tools Lite\daemon.exe
size: 486856
MD5: B3507538A9BA346A898150032869A523

Located: HK_CU:Run, Eraser
where: S-1-5-21-823518204-606747145-839522115-1003...
command: D:\Programme\Eraser\eraser.exe -hide
file: D:\Programme\Eraser\eraser.exe
size: 334224
MD5: 84B60E4861CF95513AB79A6EB0C87F9B

Located: HK_CU:Run, rundll32.exe
where: S-1-5-21-823518204-606747145-839522115-1003...
command:
file:
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_CU:Run, SpybotSD TeaTimer
where: S-1-5-21-823518204-606747145-839522115-1003...
command: D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
file: D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
size: 2260480
MD5: 390679F7A217A5E73D756276C40AE887

Located: HK_CU:Run, WAB
where: S-1-5-21-823518204-606747145-839522115-1003...
command: D:\Dokumente und Einstellungen\Patrick\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
file: D:\Dokumente und Einstellungen\Patrick\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
size: 3072
MD5: DA8C1589552134572C6F998F9C308BB2

Located: HK_CU:Run, WAB (DISABLED)
where: S-1-5-21-823518204-606747145-839522115-1003...
command: D:\Dokumente und Einstellungen\Patrick\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
file: D:\Dokumente und Einstellungen\Patrick\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
size: 3072
MD5: DA8C1589552134572C6F998F9C308BB2

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-21-823518204-606747145-839522115-500...
command: D:\WINDOWS\system32\CTFMON.EXE
file: D:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, CTFMON.EXE
where: S-1-5-18...
command: D:\WINDOWS\system32\CTFMON.EXE
file: D:\WINDOWS\system32\CTFMON.EXE
size: 15360
MD5: 01B4E6E990B6C5EA8856D96C7FD044B2

Located: HK_CU:Run, rundll32.exe
where: S-1-5-18...
command:
file:
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: HK_CU:Run, WAB
where: S-1-5-18...
command: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
file: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
size: 3072
MD5: DA8C1589552134572C6F998F9C308BB2

Located: HK_CU:Run, WAB (DISABLED)
where: S-1-5-18...
command: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
file: D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\15ba012c19.exe
size: 3072
MD5: DA8C1589552134572C6F998F9C308BB2

Located: WinLogon, AtiExtEvent
command: Ati2evxx.dll
file: Ati2evxx.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, crypt32chain
command: crypt32.dll
file: crypt32.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cryptnet
command: cryptnet.dll
file: cryptnet.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, cscdll
command: cscdll.dll
file: cscdll.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, dimsntfy
command: %SystemRoot%\System32\dimsntfy.dll
file: %SystemRoot%\System32\dimsntfy.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, ScCertProp
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, Schedule
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, sclgntfy
command: sclgntfy.dll
file: sclgntfy.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, SensLogn
command: WlNotify.dll
file: WlNotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, termsrv
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, WgaLogon
command: WgaLogon.dll
file: WgaLogon.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Located: WinLogon, wlballoon
command: wlnotify.dll
file: wlnotify.dll
size: 0
MD5: D41D8CD98F00B204E9800998ECF8427E
Warning: if the file is actually larger than 0 bytes,
the checksum could not be properly calculated!

Geändert von Path (09.08.2009 um 15:17 Uhr)

Alt 11.08.2009, 12:52   #2
kira
/// Helfer-Team
 
Irgendwas umgeht Firewall? Hilfe! - Standard

Irgendwas umgeht Firewall? Hilfe!



Hallo und Herzlich Willkommen!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

5.
  • lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
  • schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  • nichts am Pc machen während der Scan läuft!
  • starte in diesem Ordner fsbl.exe
  • klicke auf "I accept the agreement" → "next" → "Scan"
  • wenn der Scan beendet ist, wähle Close.
  • der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]


** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw
gruß
Coverflow
__________________


Antwort

Themen zu Irgendwas umgeht Firewall? Hilfe!
0 bytes, adobe, antivir, antivir guard, avg, avira, bho, browser, desktop, einstellungen, eraser, explorer, fast start, firefox, google, hijack, hijackthis, immer wieder, internet, internet explorer, keine firewall, locker, mozilla, object, rundll, scan, senden, server, stimme, warnung, windows xp




Ähnliche Themen: Irgendwas umgeht Firewall? Hilfe!


  1. kazy irgendwas.......hilfe
    Log-Analyse und Auswertung - 03.05.2011 (1)
  2. Brauche Hilfe, irgendwas stimmt nicht
    Log-Analyse und Auswertung - 25.04.2009 (53)
  3. Brauche hilfe bei meiner Firewall =(
    Antiviren-, Firewall- und andere Schutzprogramme - 19.08.2008 (1)
  4. Hilfe, kann windows firewall nicht deaktivieren
    Antiviren-, Firewall- und andere Schutzprogramme - 06.08.2008 (6)
  5. Hilfe bei Firewall Kaspersky
    Antiviren-, Firewall- und andere Schutzprogramme - 26.05.2008 (4)
  6. Irgendwas blockiert http://192.168.2.1, nur nicht die Firewall
    Antiviren-, Firewall- und andere Schutzprogramme - 20.09.2007 (11)
  7. Hilfe .. Für 2sek. Firewall aus, Rechner im Arsch ..
    Plagegeister aller Art und deren Bekämpfung - 10.03.2007 (5)
  8. Firewall hilfe
    Antiviren-, Firewall- und andere Schutzprogramme - 14.02.2007 (7)
  9. HILFE!: Habe mir irgendwas über e-mail die angeblich von der Telekom war eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 03.10.2006 (15)
  10. irgendwas haut mich ausm Netz!!! Hilfe!!
    Log-Analyse und Auswertung - 07.02.2006 (11)
  11. Brauche Hilfe! Irgendwas stimmt hier nicht!
    Log-Analyse und Auswertung - 03.08.2005 (11)
  12. Hilfe! IRGENDWAS öffnet am laufenden Band Suchfenster und Systemeigenschaften!!
    Plagegeister aller Art und deren Bekämpfung - 08.07.2005 (2)
  13. Hilfe - irgendwas macht Internet viel langsamer
    Plagegeister aller Art und deren Bekämpfung - 24.04.2005 (4)
  14. irgendwas stimmt nicht... hoffe auf hilfe
    Plagegeister aller Art und deren Bekämpfung - 29.03.2005 (2)
  15. Hilfe, hab mir irgendwas schlimmes eingefangen
    Log-Analyse und Auswertung - 14.01.2005 (4)
  16. Hilfe! Habe irgendwas, dass Mails ohne Outlook verschickt!
    Plagegeister aller Art und deren Bekämpfung - 15.12.2004 (3)
  17. Bitte um Hilfe irgendwas blockiert den Port 113
    Log-Analyse und Auswertung - 25.11.2004 (6)

Zum Thema Irgendwas umgeht Firewall? Hilfe! - Hatte gestern von Antivir ne Warnung bekommen-hab da leider nicht wirklich hingeschaut, in Quarantäne verschoben und gut war. Als ich den PC wieder gestartet habe, war mir aufgefallen, daß er - Irgendwas umgeht Firewall? Hilfe!...
Archiv
Du betrachtest: Irgendwas umgeht Firewall? Hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.