|
Plagegeister aller Art und deren Bekämpfung: Firewall beim Start IMMER deaktiviertWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.10.2009, 10:27 | #1 |
| Firewall beim Start IMMER deaktiviert Zum Anfang möchte ich sagen, dass ich die Suchfunktion benutzt habe, hier die Ergebnisse: Trojaner-Board Suche Google Suche Bei der google suche habe ich alles, was auf mein Problem hinweist angeklickt und gelesen, aber nichts gefunden, was das Problem lösen könne, da mein AntiVir keine Viren oder Trojaner gefunden hat. Aber es gibt ja auch fälle, wo AntiVir nichts meldet, obwohl Viren auf dem System sind. Dafür sind ja Programme wie HijackThis da. Zu meinem Problem: Meine Firewall ist bei JEDEM start deaktiviert, und ich muss Sie jedes mal starten, was mir bisher aber noch nicht so aufn Keks gegangen ist. Mein Grund diesen Thread zu öffnen: Ich weiß nicht, ob ich mit Viren überfallen bin, weil die Firewall von alleine deaktiviert. [Zitat]Schau mal unter Systemsteuerung>Verwaltung>Dienste Dienst: "Internetverbindungsfirewall" --> Eigenschaften --> Starttyp: Automatisch --> Starten[/Zitat] Quelle Den Punkt Internetverbindungsfirewall finde ich leider nicht, jedoch gibt es weiter unten den Punkt Windows Firewall/Gemeinsame Nutzung der Internetverbindung. Nun, das Problem besteht schon etwas länger, und AntiVir findet nichts. Eine Vermutung hätte ich da noch: Vielleicht liegt es daran, dass AntiVir eine Firewall integriert hat. Diese nutze ich aber nicht, wegen den ständigen Nachfragen, und weil es deshalb oft in Spielen laggt, oder Probleme auftauchen. Dann poste ich auch mal einen HijackThis Log-File: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:23:57, on 11.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programme\Webroot\WebrootSecurity\WRConsumerService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Webroot\WebrootSecurity\SpySweeperUI.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\CDBurnerXP\NMSAccessU.exe C:\Programme\Sandboxie\SbieSvc.exe c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe C:\Programme\Webroot\WebrootSecurity\SpySweeper.exe C:\Programme\Avira\AntiVir Desktop\avmailc.exe C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\Programme\Avira\AntiVir Desktop\avscan.exe C:\WINDOWS\system32\mmc.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - C:\Programme\Moyea\YouTube to 3GP Converter\MoyeaCth.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [nwiz] "C:\Programme\NVIDIA Corporation\nView\nwiz.exe" /install O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\WebrootSecurity\SpySweeperUI.exe" /startintray O4 - HKCU\..\Run: [ctfmon.exe] "C:\WINDOWS\system32\ctfmon.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1254512589859 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. (www.webroot.com) - C:\Programme\Webroot\WebrootSecurity\SpySweeper.exe O23 - Service: Webroot Client Service (WRConsumerService) - Webroot Software, Inc. - C:\Programme\Webroot\WebrootSecurity\WRConsumerService.exe -- End of file - 6537 bytes Denny1000000 |
11.10.2009, 12:01 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firewall beim Start IMMER deaktiviert Hallo,
__________________nutzt Du diesen PC auch gewerblich? Nur dann wäre eine Kaufversion von AntiVir erforderlich, für den reinen Privatgebrauch reicht AntiVir Free völlig aus. Aber gut, nun wirst Du das Programm wahrscheinlich gekauft haben - probier doch mal, die Firewallkomponente zu deinstallieren über Systemsteuerung/Software - wenn das nicht geht, knipps den Dienst der Avira-Firewall aus (Dienst beenden, Starttyp deaktiviert) und probier's erneut mit der Windows-Firewall. Zitat:
__________________ |
11.10.2009, 12:53 | #3 |
| Firewall beim Start IMMER deaktiviert Nun, ich habe die Kaufversion, habe aber alles wieder in den Griff bekommen, ich habe in ein paar Threads geguckt, die nichts mit Firewall zutun hatte, und habe Malwarebytes benutzt.
__________________Code:
ATTFilter Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2941 Windows 5.1.2600 Service Pack 3 11.10.2009 12:08:24 mbam-log-2009-10-11 (12-08-20).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 100950 Laufzeit: 3 minute(s), 11 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 6 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Jetzt startet die Firewall immer beim Start. Vielen Dank, dass du mir geantwortet hast Denny1000000 |
11.10.2009, 13:17 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firewall beim Start IMMER deaktiviert Die Einträge, die MBAM da entfernt hat, sehen aber nicht bsonders freundlich aus. Mach mal bitte Logfiles mit RSIT mit dieser umbenannten Version => File-Upload.net - pluescheule.exe Die Logfiles bitte zippen, auf file-upload.net hochladen und hier verlinken.
__________________ Logfiles bitte immer in CODE-Tags posten |
11.10.2009, 15:45 | #5 |
| Firewall beim Start IMMER deaktiviert Log-Datei Also ich habe das Programm runtergeladen, ein Log erstellt, und es in ein WinRar Archiv gepackt. Nochmals vielen dank für deine Hilfe. Edit: Code:
ATTFilter Malwarebytes' Anti-Malware 1.41 Datenbank Version: 2941 Windows 5.1.2600 Service Pack 3 11.10.2009 17:23:16 mbam-log-2009-10-11 (17-23-16).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 219374 Laufzeit: 30 minute(s), 31 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{9FF0597B-3E1C-4734-878F-53CBBD518CF9}\RP41\A0008745.dll (Malware.Packer.T) -> Quarantined and deleted successfully. Geändert von Denny1000000 (11.10.2009 um 16:24 Uhr) |
11.10.2009, 16:51 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firewall beim Start IMMER deaktiviert Im RSIT-Log sind einige "eklige" Dateien mach mal bitte einen Durchlauf mit Combofix: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> Firewall beim Start IMMER deaktiviert |
11.10.2009, 17:19 | #7 |
| Firewall beim Start IMMER deaktiviert Teil 1: Code:
ATTFilter ComboFix 09-10-10.02 - Dennis' 11.10.2009 18:04.1.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3263.2643 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Dennis'\Desktop\cofi.exe.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {11638345-E4FC-4BEE-BB73-EC754659C5F6} AV: Webroot Spy Sweeper *On-access scanning disabled* (Updated) {77E10C7F-2CCA-4187-9394-BDBC267AD597} FW: Avira Firewall *disabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6} * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\progra~1\Webroot\WEBROO~1\Backup\ntSVc.ocx c:\windows\Installer\35a30c.msp c:\windows\system32\1626088.dll c:\windows\system32\17350233.dll c:\windows\system32\19387818.dll c:\windows\system32\2254697.dll c:\windows\system32\29487613.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_OREANS32 -------\Service_oreans32 ((((((((((((((((((((((( Dateien erstellt von 2009-09-11 bis 2009-10-11 )))))))))))))))))))))))))))))) . 2009-10-11 15:36 . 2009-10-11 15:36 -------- d-----w- c:\programme\Avanquest update 2009-10-11 15:36 . 2009-10-11 15:36 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\BVRP Software 2009-10-11 15:35 . 2009-10-11 15:36 -------- d-----w- c:\windows\LastGood.Tmp 2009-10-11 15:34 . 2009-10-11 15:34 -------- d-----w- c:\programme\Sony Ericsson 2009-10-11 15:34 . 2009-10-11 15:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Sony Ericsson 2009-10-11 14:42 . 2009-10-11 14:42 -------- d-----w- C:\rsit 2009-10-11 10:03 . 2009-10-11 10:03 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Malwarebytes 2009-10-11 10:02 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-10-11 10:02 . 2009-10-11 10:03 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-10-11 10:02 . 2009-10-11 10:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-10-11 10:02 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-10-10 09:27 . 2009-10-10 09:27 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\teamspeak2 2009-10-10 09:11 . 2009-10-10 09:27 -------- d-----w- c:\programme\Teamspeak2_RC2 2009-10-09 18:12 . 2009-10-09 18:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard Entertainment 2009-10-09 17:11 . 2009-10-10 14:02 -------- d-----w- c:\programme\World of Warcraft 2009-10-07 13:11 . 2007-05-17 15:30 318976 ----a-w- c:\windows\system32\avisynth.dll 2009-10-07 13:11 . 2005-07-14 10:31 27648 ----a-w- c:\windows\system32\AVSredirect.dll 2009-10-04 16:40 . 2009-10-04 16:40 -------- d-----w- c:\programme\Games-Masters.com 2009-10-03 10:02 . 2009-10-03 10:02 -------- d-----w- c:\programme\NVIDIA Corporation 2009-10-03 10:02 . 2009-10-03 10:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NVIDIA Corporation 2009-10-03 10:01 . 2009-10-03 10:01 -------- d-----w- C:\NVIDIA 2009-10-03 09:13 . 2009-10-03 09:13 -------- d-----w- c:\programme\Lavalys 2009-10-03 09:07 . 2009-10-03 09:07 -------- d-----w- c:\programme\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition 2009-10-02 19:45 . 2009-10-02 19:45 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Lokale Einstellungen\Anwendungsdaten\Deployment 2009-09-30 19:02 . 2009-09-30 19:02 -------- d-----w- C:\Fiaa 2009-09-29 19:02 . 2009-09-29 19:02 229224 ----a-w- c:\windows\system32\drivers\VMM.sys 2009-09-29 14:09 . 2009-09-29 14:15 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Lokale Einstellungen\Anwendungsdaten\Temporary Projects 2009-09-29 12:24 . 2009-09-29 12:27 -------- d-----w- c:\programme\TmUnitedForever 2009-09-28 18:24 . 2009-09-28 18:24 -------- d-----w- c:\programme\Microsoft Virtual PC 2009-09-26 14:11 . 2009-09-26 14:11 -------- d-----w- c:\programme\MSSOAP 2009-09-26 14:11 . 2009-09-26 15:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Webroot 2009-09-26 14:11 . 2009-09-26 14:11 -------- d-----w- c:\programme\Webroot 2009-09-26 14:11 . 2009-09-26 14:11 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Webroot 2009-09-26 14:11 . 2009-05-13 13:39 1563008 ----a-w- c:\windows\WRSetup.dll 2009-09-26 14:10 . 2009-09-26 14:10 164 ----a-w- c:\windows\install.dat 2009-09-26 13:04 . 2009-09-26 13:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SweetIM 2009-09-26 12:08 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\a3863c0.dll 2009-09-26 12:08 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\14d6b9a6.dll 2009-09-25 14:24 . 2009-10-05 15:58 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania 2009-09-25 14:20 . 2005-05-26 13:34 2297552 ----a-w- c:\windows\system32\d3dx9_26.dll 2009-09-25 14:19 . 2009-09-25 14:20 -------- d-----w- c:\programme\TmNationsForever 2009-09-21 18:45 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\45f8adb.dll 2009-09-21 18:45 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\2b2cc0e7.dll 2009-09-21 18:43 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\c0d4400.dll 2009-09-21 18:43 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\9aa9688.dll 2009-09-21 18:41 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\4957a28.dll 2009-09-21 18:41 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\2d5326f8.dll 2009-09-20 11:16 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\c876e84.dll 2009-09-20 11:16 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\141f31c8.dll 2009-09-19 20:40 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\ab35de4.dll 2009-09-19 20:40 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\43b1bcc.dll 2009-09-19 16:37 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\17f167c8.dll 2009-09-19 13:39 . 2009-09-19 13:42 -------- d-----w- c:\programme\SystemRequirementsLab 2009-09-19 13:39 . 2009-09-19 13:39 -------- d-----w- c:\dokumente und einstellungen\Dennis'\SystemRequirementsLab 2009-09-19 10:34 . 2009-10-03 10:29 15688 ----a-w- c:\windows\system32\lsdelete.exe 2009-09-19 10:30 . 2009-07-03 14:49 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys 2009-09-19 10:27 . 2009-09-19 10:27 -------- dc-h--w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{EF63305C-BAD7-4144-9208-D65528260864} 2009-09-19 10:27 . 2009-09-19 10:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-09-19 10:27 . 2009-09-19 10:27 -------- d-----w- c:\programme\Lavasoft 2009-09-18 13:14 . 2009-09-18 13:14 -------- d-----w- c:\programme\Schachtrainer 2009-09-17 16:12 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\13f7bb62.dll 2009-09-17 16:10 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\894cd09.dll 2009-09-17 16:10 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\1fc646ce.dll 2009-09-17 16:08 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\a7bbff2.dll 2009-09-17 16:08 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\d0f448c.dll 2009-09-17 15:53 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\2fd2edf6.dll 2009-09-17 15:53 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\11ee8e20.dll 2009-09-17 15:52 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\22dc492.dll 2009-09-17 15:52 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\156cc6a8.dll 2009-09-17 14:11 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\6c5404.dll 2009-09-17 14:11 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\1db1a89c.dll 2009-09-17 12:54 . 2009-10-02 19:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-09-17 12:54 . 2009-09-17 13:03 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-09-16 12:01 . 2009-09-16 12:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP 2009-09-13 11:32 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\200c5469.dll 2009-09-13 11:28 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\32b7f08.dll 2009-09-13 10:04 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\d135932.dll 2009-09-13 10:04 . 2008-04-14 12:00 82432 ---h-tw- c:\windows\system32\201e2de1.dll 2009-09-13 08:47 . 2009-09-13 11:33 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Ace Explorer 2009-09-13 08:36 . 2009-09-16 12:06 -------- d-----w- c:\programme\Ace Utilities 2009-09-13 08:35 . 2009-09-13 08:52 -------- d-----w- c:\programme\Ace Explorer 2009-09-13 08:02 . 2009-09-13 08:13 -------- d-----w- c:\programme\StepMania 2009-09-12 10:57 . 2009-09-12 10:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard 2009-09-12 10:52 . 2009-10-09 18:07 -------- d-----w- c:\programme\Gemeinsame Dateien\Blizzard Entertainment 2009-09-12 10:38 . 2009-09-12 10:38 -------- d-----w- c:\programme\Java 2009-09-12 10:08 . 2009-09-12 10:08 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Lokale Einstellungen\Anwendungsdaten\Ashampoo Movie Shrink & Burn 3 2009-09-12 10:08 . 2009-09-12 10:08 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Lokale Einstellungen\Anwendungsdaten\ashampoo 2009-09-12 10:08 . 2009-09-12 10:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ashampoo 2009-09-12 10:08 . 2009-09-12 10:08 -------- d-----w- c:\programme\Ashampoo 2009-09-12 08:09 . 2009-09-12 08:09 -------- d-----w- c:\programme\Microsoft DirectX 9.0 SDK (Summer 2004) 2009-09-12 08:09 . 2009-09-12 08:09 -------- d-----w- c:\programme\Microsoft Visual Studio .NET 2009-09-11 20:44 . 2009-09-11 20:45 -------- d-----w- c:\programme\Paint.NET 2009-09-11 20:44 . 2009-10-05 12:22 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Lokale Einstellungen\Anwendungsdaten\Paint.NET 2009-09-11 19:38 . 2009-09-11 19:48 -------- d-----w- c:\programme\Tastenteufel 2009-09-11 16:48 . 2009-09-11 16:48 -------- d-----w- C:\Sandbox 2009-09-11 16:47 . 2009-09-11 16:47 -------- d-----w- c:\programme\Sandboxie 2009-09-11 16:35 . 2009-09-11 16:35 -------- d-----w- c:\programme\1-abc 2009-09-11 16:34 . 2005-12-01 08:49 23600 ----a-w- c:\windows\system32\drivers\drhard.sys 2009-09-11 16:34 . 2009-09-11 16:34 -------- d-----w- c:\programme\Dr. Hardware 2008 2009-09-11 16:27 . 2009-09-11 16:27 361728 ----a-w- c:\windows\system32\TuneUpDefragService.exe 2009-09-11 16:27 . 2009-10-02 18:24 -------- d-----w- c:\programme\TuneUp Utilities 2008 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-10-11 16:03 . 2008-04-14 12:00 560904 ----a-w- c:\windows\system32\perfh007.dat 2009-10-11 16:03 . 2008-04-14 12:00 116810 ----a-w- c:\windows\system32\perfc007.dat 2009-10-11 15:36 . 2009-08-13 09:18 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-10-10 16:41 . 2009-08-21 16:38 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Skype 2009-10-10 09:36 . 2009-08-21 16:41 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\skypePM 2009-10-07 13:12 . 2009-10-06 18:41 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Moyea 2009-10-07 13:11 . 2009-10-07 13:11 -------- d-----w- c:\programme\eRightSoft 2009-10-06 18:47 . 2009-08-29 18:08 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft 2009-10-06 18:47 . 2009-08-29 18:08 -------- d-----w- c:\programme\DVDVideoSoft 2009-10-06 18:41 . 2009-10-06 18:41 -------- d-----w- c:\programme\Moyea 2009-10-05 11:49 . 2009-08-13 09:26 12712 ----a-w- c:\dokumente und einstellungen\Dennis'\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-10-03 10:03 . 2009-08-12 21:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-10-03 10:03 . 2009-08-12 21:12 -------- d-----w- c:\programme\AGEIA Technologies 2009-09-25 16:03 . 2009-08-22 18:11 -------- d-----w- c:\programme\Mozilla Thunderbird 3.0 Beta 3 2009-09-12 10:38 . 2009-08-23 17:07 411368 ----a-w- c:\windows\system32\deploytk.dll 2009-09-12 09:58 . 2009-09-03 16:28 -------- d-----w- c:\programme\HyCam2 2009-09-12 08:09 . 2009-09-02 14:39 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-09-12 07:14 . 2009-09-09 13:19 -------- d-----w- c:\programme\ShotOnline 2009-09-10 17:42 . 2009-09-02 14:42 -------- d-----w- c:\programme\Microsoft Silverlight 2009-09-10 11:08 . 2009-09-10 11:08 -------- d-----w- c:\programme\MSXML 4.0 2009-09-09 13:20 . 2009-08-13 09:47 -------- d-----w- c:\programme\Ubisoft 2009-09-07 13:57 . 2009-09-06 18:06 -------- d-----w- c:\programme\CDBurnerXP 2009-09-06 18:07 . 2009-09-06 18:07 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Canneverbe_Limited 2009-09-06 18:07 . 2009-09-06 18:07 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Canneverbe Limited 2009-09-06 14:42 . 2009-09-06 14:42 348160 ----a-w- c:\windows\system32\MSVCR71.dll 2009-09-05 16:26 . 2009-09-05 15:02 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU 2009-09-05 14:31 . 2009-09-05 14:31 421888 ----a-w- c:\windows\NEXON_EU_DownloaderUpdater.exe 2009-09-05 12:26 . 2009-08-30 17:56 -------- d-----w- c:\programme\Opera 2009-09-05 09:04 . 2009-09-05 09:04 33824 ----a-w- c:\windows\system32\drivers\oreans32.sys 2009-09-04 13:17 . 2009-09-04 13:17 -------- d-----w- c:\programme\Visual Basic 6.0 Runtime&Steuerelemente 2009-09-04 13:17 . 2009-09-04 13:17 290816 ------w- c:\windows\Setup1.exe 2009-09-04 13:17 . 2009-09-04 13:17 74752 ----a-w- c:\windows\ST6UNST.EXE 2009-09-03 13:35 . 2009-09-03 13:35 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Datarescue 2009-09-02 15:00 . 2009-09-02 15:00 -------- d-----w- c:\programme\Gemeinsame Dateien\Merge Modules 2009-09-02 15:00 . 2009-09-02 14:39 -------- d-----w- c:\programme\Microsoft Visual Studio 9.0 2009-09-02 14:45 . 2009-09-02 14:42 -------- d-----w- c:\programme\Microsoft SQL Server 2009-09-02 14:44 . 2009-09-02 14:44 -------- d-----w- c:\programme\MSXML 6.0 2009-09-02 14:44 . 2009-09-02 14:39 -------- d-----w- c:\programme\Microsoft.NET 2009-09-02 14:42 . 2009-09-02 14:42 -------- d-----w- c:\programme\Microsoft Synchronization Services 2009-09-02 14:42 . 2009-09-02 14:42 -------- d-----w- c:\programme\Microsoft SQL Server Compact Edition 2009-09-02 14:40 . 2009-09-02 14:40 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\TeamViewer 2009-09-02 14:40 . 2009-09-02 14:40 -------- d-----w- c:\programme\TeamViewer 2009-09-02 14:39 . 2009-09-02 14:39 -------- d-----w- c:\programme\Microsoft SDKs 2009-08-28 19:55 . 2009-08-13 09:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS 2009-08-28 17:21 . 2009-08-28 17:19 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\UpdateStar 2009-08-28 17:18 . 2009-08-28 17:18 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Thunderbird 2009-08-28 17:14 . 2009-08-28 17:14 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\RapidSolution 2009-08-28 17:14 . 2009-08-28 17:10 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\RapidSolution 2009-08-28 17:11 . 2009-08-28 17:11 -------- d-----w- c:\programme\PixiePack Codec Pack 2009-08-28 17:10 . 2009-08-28 17:10 -------- d-----w- c:\programme\RapidSolution 2009-08-28 17:07 . 2009-08-28 17:07 -------- d-----w- c:\programme\Paragon Software 2009-08-28 13:41 . 2009-08-28 13:41 -------- d-----w- c:\programme\Windows Media Connect 2 2009-08-27 16:15 . 2009-08-22 12:56 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Audacity 2009-08-24 18:18 . 2009-08-24 18:18 -------- d-----w- c:\programme\IrfanView 2009-08-24 15:25 . 2009-08-24 12:29 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\ArchiCrypt System Doctor 2009-08-24 15:25 . 2009-08-24 12:28 -------- d-----w- c:\programme\ArchiCrypt System Doctor 2009-08-23 13:54 . 2009-08-13 14:19 -------- d-----w- c:\programme\CamStudio 2009-08-23 10:12 . 2009-08-23 10:12 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Avira 2009-08-23 10:11 . 2009-08-23 10:11 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TuneUp Software 2009-08-23 09:56 . 2009-08-23 09:56 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\lowsec 2009-08-23 09:06 . 2009-08-23 09:06 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Avira 2009-08-23 08:29 . 2009-08-13 14:37 -------- d-----w- c:\programme\LittleFighter2 2009-08-23 08:28 . 2009-08-14 19:47 -------- d-----w- c:\programme\Little Fighter 2 Toolbar 2009-08-23 07:57 . 2009-08-23 07:57 -------- d-----w- c:\programme\Trend Micro 2009-08-22 21:43 . 2009-08-22 21:43 67560 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-08-22 18:15 . 2009-08-22 18:15 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\KeePass 2009-08-22 17:15 . 2009-08-21 16:48 -------- d-----w- c:\programme\Metin2_Germany 2009-08-22 17:02 . 2009-08-22 17:02 361600 ----a-w- c:\windows\system32\drivers\TCPIP.SYS.ORIGINAL 2009-08-22 17:02 . 2008-04-14 12:00 361600 ----a-w- c:\windows\system32\drivers\TCPIP.SYS 2009-08-22 12:56 . 2009-08-22 12:56 -------- d-----w- c:\programme\Audacity 1.3 Beta (Unicode) 2009-08-21 16:41 . 2009-08-21 16:41 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2009-08-21 16:38 . 2009-08-21 16:38 -------- d-----r- c:\programme\Skype 2009-08-21 16:38 . 2009-08-21 16:38 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype 2009-08-21 16:38 . 2009-08-21 16:38 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype 2009-08-18 18:45 . 2009-08-13 12:03 -------- d-----w- c:\programme\TuneUp Utilities 2007 2009-08-17 01:03 . 2009-08-17 01:03 3674112 ----a-w- c:\windows\system32\nvwssr.dll 2009-08-17 01:02 . 2009-08-17 01:02 229376 ----a-w- c:\windows\system32\nvmccs.dll 2009-08-16 22:57 . 2009-08-16 22:57 1706528 ----a-w- c:\windows\system32\nvcuvenc.dll 2009-08-16 22:57 . 2009-08-16 22:57 1597690 ----a-w- c:\windows\system32\nvdata.bin 2009-08-16 22:57 . 2009-08-12 21:11 485920 ----a-w- c:\windows\system32\nvudisp.exe 2009-08-16 22:57 . 2009-02-09 05:18 868352 ----a-w- c:\windows\system32\nvapi.dll 2009-08-16 22:57 . 2009-02-09 05:18 7729568 ----a-w- c:\windows\system32\drivers\nv4_mini.sys 2009-08-16 22:57 . 2009-02-09 05:18 5845760 ----a-w- c:\windows\system32\nv4_disp.dll 2009-08-16 22:57 . 2009-02-09 05:18 2189856 ----a-w- c:\windows\system32\nvcuvid.dll 2009-08-16 22:57 . 2009-02-09 05:18 2002944 ----a-w- c:\windows\system32\nvcuda.dll 2009-08-16 22:57 . 2009-02-09 05:18 155648 ----a-w- c:\windows\system32\nvcodins.dll 2009-08-16 22:57 . 2009-02-09 05:18 155648 ----a-w- c:\windows\system32\nvcod.dll 2009-08-16 22:57 . 2009-02-09 05:18 10457088 ----a-w- c:\windows\system32\nvoglnt.dll 2009-08-15 19:36 . 2009-08-15 15:55 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe 2009-08-15 17:15 . 2009-08-15 17:15 -------- d-----w- c:\programme\gPotato.eu 2009-08-15 15:55 . 2009-08-15 15:55 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\InterTrust 2009-08-15 15:51 . 2009-08-15 15:51 -------- d-----w- c:\programme\Take2 2009-08-15 15:43 . 2009-08-15 15:43 -------- d-----w- c:\programme\MSBuild 2009-08-14 19:48 . 2009-08-14 19:48 -------- d-----w- c:\programme\SmartClose 2009-08-14 19:24 . 2009-08-14 19:21 7444 ----a-w- c:\windows\system32\drivers\kwflower.log 2009-08-14 19:23 . 2009-08-14 19:22 3239 ----a-w- c:\windows\system32\drivers\kwfupper.log 2009-08-14 19:22 . 2009-08-14 19:22 -------- d-----w- c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Kerio 2009-08-14 19:21 . 2009-08-14 19:21 -------- d-----w- c:\programme\Kerio 2009-08-14 12:09 . 2009-08-14 12:07 -------- d-----w- c:\programme\MP3Gain 2009-08-14 11:36 . 2009-08-14 11:36 70936 ----a-w- c:\windows\system32\PhysXLoader.dll 2006-05-03 09:06 . 2009-10-07 13:11 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 10:47 . 2009-10-07 13:11 31232 --sh--r- c:\windows\system32\msfDX.dll 2008-03-16 12:30 . 2009-10-07 13:11 216064 --sh--r- c:\windows\system32\nbDX.dll . Und eine Frage: Was hat dieser Bot bewirkt? Denny1000000 |
11.10.2009, 17:20 | #8 |
| Firewall beim Start IMMER deaktiviert Teil 2: Code:
ATTFilter (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-08-13 209153] "nwiz"="c:\programme\NVIDIA Corporation\nView\nwiz.exe" [2009-08-12 1657376] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-17 13877248] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-08-17 86016] " Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080] "SpySweeper"="c:\programme\Webroot\WebrootSecurity\SpySweeperUI.exe" [2009-05-13 6345840] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WebrootSpySweeperService] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WRConsumerService] @="Service" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" "ICQ"="c:\programme\ICQ6.5\ICQ.exe" silent "HDDHealth"=c:\programme\HDD Health\HDDHealth.exe -wl "TuneUp MemOptimizer"=c:\programme\TuneUp Utilities 2007\MemOptimizer.exe "Firefox"=c:\programme\Mozilla Firefox\firefox.exe "Skype"="c:\programme\Skype\Phone\Skype.exe" /nosplash /minimized "UpdateStar"=c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\UpdateStar\UpdateStar.exe -A "SandboxieControl"="c:\programme\Sandboxie\SbieCtrl.exe" "SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit "nwiz"=nwiz.exe /install "NvCplDaemon"="RUNDLL32.EXE" c:\windows\system32\NvCpl.dll,NvStartup "Alcmtr"=ALCMTR.EXE "MSConfig"=c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" "SpySweeper"="c:\programme\Webroot\WebrootSecurity\SpySweeperUI.exe" /startintray "RTHDCPL"="RTHDCPL.EXE" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Game.exe"= "c:\\Programme\\Ubisoft\\Tom Clancy's Rainbow Six Vegas\\Binaries\\R6Vegas_Launcher.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"= "c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"= "c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonEU\\NGM\\NGM.exe"= "c:\nexon\Combat Arms EU\CombatArms.exe"= c:\nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe "c:\nexon\Combat Arms EU\Engine.exe"= c:\nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe "c:\\Nexon\\Combat Arms EU\\NMService.exe"= "c:\\Programme\\TmNationsForever\\TmForever.exe"= "c:\\Programme\\TmUnitedForever\\TmForever.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.0-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\Launcher.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.0.10192-to-3.2.0.10314-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.0.10314-to-3.2.2.10482-deDE-downloader.exe"= "c:\\Programme\\World of Warcraft\\WoW-3.2.2.10482-to-3.2.2.10505-deDE-downloader.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5340:TCP"= 5340:TCP:WarRock (TCP) "5350:UDP"= 5350:UDP:WarRock (UDP) R0 hotcore3;Hotcore helper;c:\windows\system32\drivers\hotcore3.sys [28.08.2009 19:08 40496] R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [19.09.2009 12:30 64160] R0 ssfs0bbc;ssfs0bbc;c:\windows\system32\drivers\ssfs0bbc.sys [21.04.2009 18:27 29808] R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [13.08.2009 16:16 97608] R2 AntiVirFirewallService;Avira Firewall;c:\programme\Avira\AntiVir Desktop\avfwsvc.exe [13.08.2009 16:16 388865] R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [13.08.2009 16:16 194817] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.08.2009 16:16 108289] R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [13.08.2009 16:16 434945] R2 WRConsumerService;Webroot Client Service;c:\programme\Webroot\WebrootSecurity\WRConsumerService.exe [26.09.2009 16:11 1205760] R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [13.08.2009 16:16 69632] R3 SbieDrv;SbieDrv;c:\programme\Sandboxie\SbieDrv.sys [28.05.2009 15:32 108032] S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [03.07.2009 16:49 1028432] S3 clr_optimization_v4.0.20506_32;.NET Runtime Optimization Service v4.0.20506_X86;c:\windows\Microsoft.NET\Framework\v4.0.20506\mscorsvw.exe [06.05.2009 09:08 104272] S3 drhard;DRHARD;c:\windows\system32\drivers\drhard.sys [11.09.2009 18:34 23600] S3 kvnet;Kerio Virtual Network Adapter;c:\windows\system32\drivers\kvnet.sys [23.03.2009 11:25 29696] S3 kwflower;Kerio WinRoute Firewall Driver - Lower Layer;c:\windows\system32\DRIVERS\kwflower.sys --> c:\windows\system32\DRIVERS\kwflower.sys [?] S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?] S4 MSSQLServerADHelper100;SQL Server Hilfsdienst für Active Directory;c:\programme\Microsoft SQL Server\100\Shared\sqladhlp.exe [11.07.2008 02:27 47128] S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.07.2008 02:49 242712] S4 SQLAgent$SQLEXPRESS;SQL Server-Agent (SQLEXPRESS);c:\programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11.07.2008 02:27 369688] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{54E1342C-1FDF-4F2A-98AB-4E82A5616FC8}] c:\programme\PixiePack Codec Pack\InstallerHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6B4C570F-ADE1-0967-63A6-F255A40D373A}] c:\windows\system32\RUNDLL.exe . Inhalt des "geplante Tasks" Ordners 2009-10-11 c:\windows\Tasks\1-Klick-Wartung.job - c:\programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 16:47] 2009-10-10 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-07-03 10:29] 2009-10-02 c:\windows\Tasks\wrSpySweeper_L0D14CB95A05549299D65B65EDC0F1F02.job - c:\programme\Webroot\WebrootSecurity\SpySweeperUI.exe [2009-09-26 13:39] 2009-10-02 c:\windows\Tasks\wrSpySweeper_L0D14CB95A05549299D65B65EDC0F1F02.job - c:\programme\Webroot\WebrootSecurity\SpySweeperUI.exe [2009-09-26 13:39] . . ------- Zusätzlicher Suchlauf ------- . IE: Save YouTube Video as MP3 - c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll FF - ProfilePath - c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Mozilla\Firefox\Profiles\zt7lycmb.default\ FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q= FF - component: c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Mozilla\Firefox\Profiles\zt7lycmb.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\platform\WINNT_x86-msvc\components\SSSLauncher.dll FF - component: c:\dokumente und einstellungen\Dennis'\Anwendungsdaten\Mozilla\Firefox\Profiles\zt7lycmb.default\extensions\allglassv2@ambroos.neowin.net\components\dwmxpcom.dll FF - component: c:\programme\Gemeinsame Dateien\DVDVideoSoft\Dll\FFContextMenuY\components\FFContextMenu.dll FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\NexonEU\NGM\npNxGameeu.dll FF - plugin: c:\programme\Mozilla Firefox\plugins\NPOP7PlugIn.dll FF - plugin: c:\programme\Opera\program\plugins\nppdf32.dll FF - plugin: c:\windows\Microsoft.NET\Framework\v4.0.20506\WPF\NPWPF.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 FF - user.js: network.http.max-connections-per-server - 8 FF - user.js: yahoo.homepage.dontask - true. - - - - Entfernte verwaiste Registrierungseinträge - - - - WebBrowser-{C3CD744D-2FAE-4640-8297-16B5DA423104} - (no file) WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-10-11 18:09 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}] @Denied: (A 2) (Everyone) @="IFlashBroker3" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'lsass.exe'(1304) c:\programme\Avira\AntiVir Desktop\avsda.dll - - - - - - - > 'explorer.exe'(2172) c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\msi.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\programme\Microsoft Virtual PC\VPCShExH.DLL c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\nvsvc32.exe c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Java\jre6\bin\jqs.exe c:\programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe c:\programme\CDBurnerXP\NMSAccessU.exe c:\programme\Sandboxie\SbieSvc.exe c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe c:\programme\Webroot\WebrootSecurity\SpySweeper.exe c:\windows\system32\rundll32.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-10-11 18:13 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-10-11 16:13 Vor Suchlauf: 16 Verzeichnis(se), 252.038.033.408 Bytes frei Nach Suchlauf: 18 Verzeichnis(se), 251.955.576.832 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows 7" /noexecute=optin /fastdetect 422 --- E O F --- 2009-09-29 19:02 |
12.10.2009, 13:46 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firewall beim Start IMMER deaktiviert Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Vorsicht lange Liste!!) Code:
ATTFilter KILLALL:: File:: c:\windows\system32\a3863c0.dll c:\windows\system32\14d6b9a6.dll c:\windows\system32\45f8adb.dll c:\windows\system32\2b2cc0e7.dll c:\windows\system32\c0d4400.dll c:\windows\system32\9aa9688.dll c:\windows\system32\4957a28.dll c:\windows\system32\2d5326f8.dll c:\windows\system32\c876e84.dll c:\windows\system32\141f31c8.dll c:\windows\system32\ab35de4.dll c:\windows\system32\43b1bcc.dll c:\windows\system32\17f167c8.dll c:\windows\system32\13f7bb62.dll c:\windows\system32\894cd09.dll c:\windows\system32\1fc646ce.dll c:\windows\system32\a7bbff2.dll c:\windows\system32\d0f448c.dll c:\windows\system32\2fd2edf6.dll c:\windows\system32\11ee8e20.dll c:\windows\system32\22dc492.dll c:\windows\system32\156cc6a8.dll c:\windows\system32\6c5404.dll c:\windows\system32\1db1a89c.dll c:\windows\system32\200c5469.dll c:\windows\system32\32b7f08.dll c:\windows\system32\d135932.dll c:\windows\system32\201e2de1.dll http://www.trojaner-board.de/78314-firewall-beim-start-immer-deaktiviert.html Collect:: c:\windows\system32\drivers\oreans32.sys c:\windows\system32\drivers\drhard.sys Driver:: drhard 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
20.10.2009, 09:50 | #10 |
| Firewall beim Start IMMER deaktiviert Ehm danke, aber es ComboFix wird immer noch ganz normal gestartet. Zudem erhalte ich immer eine Nachricht: Meine Software steht ist in keinster Weise von w ww.combofix.org, oder sowas. |
20.10.2009, 09:55 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firewall beim Start IMMER deaktiviert Lad Dir ComboFix bitte neu herunter, die alte combofix bzw. cofi.exe löschen.
__________________ Logfiles bitte immer in CODE-Tags posten |
22.10.2009, 10:57 | #12 |
| Firewall beim Start IMMER deaktiviert Ehm irgendwie funktioniert das bei mir nicht Gibt es auch noch einen anderen Weg, alles untersuchen zu können, bzw. alles fixen zu können. |
22.10.2009, 11:02 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firewall beim Start IMMER deaktiviert Das hilft mir nicht weiter. Was genau funktioniert nicht?
__________________ Logfiles bitte immer in CODE-Tags posten |
23.10.2009, 10:10 | #14 |
| Firewall beim Start IMMER deaktiviert Das Problem ist, wenn ich das mit der Datei da mache, also mit dem auf ComboFix ziehen, dann öffnet sich ComboFix ganz normal und macht alles was vorher auch gemacht wurde, ein Scan. |
23.10.2009, 10:23 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Firewall beim Start IMMER deaktiviert Ja, das bewirkt, dass Combofix neu gestartet wird. Hast Du denn kein Logfile bekommen?
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Firewall beim Start IMMER deaktiviert |
ad-aware, anfang, antivir, antivir guard, avgnt, avgnt.exe, avira, bho, cdburnerxp, converter, desktop, firefox, hijack, hijackthis, hkus\s-1-5-18, internet explorer, keine viren, letzt, logfile, mozilla, mp3, plug-in, problem, rojaner gefunden, rundll, security, server, software, spielen, starten, system, trojaner gefunden, tuneup.defrag, viren, webroot, windows, windows xp |