| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Fehlermeldungen beim starten von Win XPWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.11.2009, 00:25
| #1 |
| |  Fehlermeldungen beim starten von Win XP Hallo, Wenn Windows startet bekomme ich folgende Fehlermeldungen: - Explorer.EXE Fehler in der Anwendung: Die Anweisung in "0x24167c1e" verweist auf Speicher in "0x00000000" der Vorgang "read" konnte nicht ausgeführt werden - Catalyst Controllcenter: Host application hat ein Problem festgestellt und muß beendet werden - firefox.exe hat ein Problem festgestellt und muß beendet werden. (hier öffnen sich 6 Fenster und mehr mit der gleichen Fehlermeldung hintereinander) - Explorer.EXE hat ein Problem festgestellt und muß beendet werden - Add-Aware hat ein Problem festgestellt und muß beendet werden Aufgrund eurer Regeln für Themen habe ich mir den Malewarebytes Scanner gezogen und konnte es immerhin im abgesicherten Modus ohne abstürtze ausführen, was sämtlichen Fehlermeldungen abgesehen von Firefox ein Ende bereitet hat. Und noch ein zweites Problem bleibt weiterhin bestehen, ich kann keine Updates für Viren oder auch Malware Scanner (das gilt auch für den Malwarebytes Scanner) ziehen. CC-Cleaner habe ich drüber laufen lassen. Hijack This: Anhang 4501 Das Log von Malwarebytes Scanner ist ein Problem, ich habe ihn zwar im abgesicherten Modus abgespeichert (2 mal versucht, mit dem selben Ergebniss), allerdings finde ich ihn jetzt aus unerfindlichem Grund nicht mehr. Geändert von cris (01.11.2009 um 00:34 Uhr) |
|
01.11.2009, 11:44
| #2 | |
| /// Helfer-Team    | Fehlermeldungen beim starten von Win XP Hallo und Herzlich Willkommen!
__________________ - Vermutliche Ursache: Festplatten, die mit dem Virus "Virus.Win32.AutoRun" befallen waren/sind - Die sind Malware, die sich über externe Datenträger verbreitet Zitat:
mindestens einen Backdoor/Wikipedia Adware -Tollbar installiert... - vermute ich dahinten noch ein Rootkit ehrlich gesagt die einzige sichere Lösung wäre: Format C + Neuinstallation mitsamt alle externe Datenträger (wie DVD, CD, externe Festplatten, USB Speicher usw) Falls du doch für die Systemreinigung entscheidest: Können wir versuchen dein PC von Viren zu befreien, aber nur "bis zu einem gewissen Punkt", wo dein System technisch auch noch einwandfrei funktioniert ** wenn auch gelingt es uns dein System einigermaße hinzukriegen, dein System wird ohne Neuinstallation NIE gesund! **eigentlich auch gute Idee wäre gleich das hier machen: Deaktivieren der Autorun-Funktionalität in Windows oder damit: "autorunsettigs" von Uwe Sieber - Anleitung zur Benutzung von AutoRunSettings/ SETI@home 1. **Spybot Tea Timer bitte abstellen! Falls "Tea Timer" auch aktiviert: Modus-->Erweiterte Modus-->Ja-->Werkzeuge-->Resident--> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) > exit. 2. Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...` Code:
ATTFilter AskToolbar
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 4. → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code:
ATTFilter C:\Programme\System64\SPY_NET_RAT.exe
C:\Programme\System Updater\svchost.exe
C:\WINDOWS\system32\WinDefence\windefence32.exe
C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\svchost.exe
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1) wenn schaffst Du es so nicht dann versuche so - danach die Dateien bei Virustotal prüfen lassen: 5. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code:
ATTFilter O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [Windows SP2] C:\Programme\System64\SPY_NET_RAT.exe
O4 - HKCU\..\Run: [Hardware Virtualization] C:\Programme\System64\SPY_NET_RAT.exe
C:\Programme\System Updater\svchost.exe
C:\WINDOWS\system32\WinDefence\windefence32.exe
O4 - HKCU\..\Run: [Windows Security Center] C:\Dokumente und Einstellungen\Christoph\Anwendungsdaten\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Service Pack 2] C:\Programme\System64\SPY_NET_RAT.exe
O4 - HKLM\..\Policies\Explorer\Run: [Windows Manager] C:\Programme\System Updater\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [WinDefence] C:\WINDOWS\system32\WinDefence\windefence32.exe
O4 - HKCU\..\Policies\Explorer\Run: [Service Pack 2] C:\Programme\System64\SPY_NET_RAT.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Manager] C:\Programme\System Updater\svchost.exe
C:\WINDOWS\system32\WinDefence\windefence32.exe
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Cf Geändert von kira (01.11.2009 um 12:04 Uhr) |
|
01.11.2009, 17:44
| #3 |
| | Fehlermeldungen beim starten von Win XP - Autorun deaktiviert
__________________- Spybot Teatimer deaktiviert - Ask Toolbar: Beim deinstallieren wird mir ein "schwerwiegender Fehler" gemeldet und bricht ab. Punkt 4 svchost.exe HTML-Code: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.01 - AhnLab-V3 5.0.0.2 2009.10.30 - AntiVir 7.9.1.53 2009.10.30 - Antiy-AVL 2.0.3.7 2009.10.30 - Authentium 5.1.2.4 2009.10.31 - Avast 4.8.1351.0 2009.11.01 - AVG 8.5.0.423 2009.11.01 - BitDefender 7.2 2009.11.01 - CAT-QuickHeal 10.00 2009.10.31 - ClamAV 0.94.1 2009.11.01 - Comodo 2805 2009.11.01 - DrWeb 5.0.0.12182 2009.11.01 - eSafe 7.0.17.0 2009.11.01 - eTrust-Vet 35.1.7094 2009.10.30 - F-Prot 4.5.1.85 2009.10.31 - F-Secure 9.0.15370.0 2009.10.30 Trojan:W32/Agent.MGS Fortinet 3.120.0.0 2009.11.01 - GData 19 2009.11.01 - Ikarus T3.1.1.72.0 2009.11.01 - Jiangmin 11.0.800 2009.11.01 - K7AntiVirus 7.10.885 2009.10.31 - Kaspersky 7.0.0.125 2009.11.01 - McAfee 5788 2009.10.31 - McAfee+Artemis 5788 2009.10.31 - McAfee-GW-Edition 6.8.5 2009.11.01 - Microsoft 1.5202 2009.11.01 - NOD32 4562 2009.11.01 - Norman 6.03.02 2009.11.01 - nProtect 2009.1.8.0 2009.11.01 - Panda 10.0.2.2 2009.11.01 - PCTools 7.0.3.5 2009.10.30 - Prevx 3.0 2009.11.01 - Rising 21.53.62.00 2009.11.01 - Sophos 4.47.0 2009.11.01 - Sunbelt 3.2.1858.2 2009.10.31 - Symantec 1.4.4.12 2009.11.01 - TheHacker 6.5.0.2.058 2009.10.31 - TrendMicro 8.950.0.1094 2009.11.01 - VBA32 3.12.10.11 2009.10.30 - ViRobot 2009.10.31.2015 2009.10.31 - VirusBuster 4.6.5.0 2009.10.31 - weitere Informationen File size: 393216 bytes MD5...: 6d6df55ca46d42d600ff4112e0e7c722 SHA1..: 7897742b9fb4907e19ba715a8d574196d0e6e6e7 SHA256: 5f989703b732206ab443b42d86a0cf0fc5aead46165895d13f28a5ec15d09bf1 ssdeep: 6144:LxkV/ZnLWP2Rr+4vS24KKHPOmON8H4isINuzfh9373KxIEPSfutafVOr2RB rXXlv:Yk4vS24KKHPOH8YidshiCftfVQ2RVn2u PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x47b0 timedatestamp.....: 0x4ae2364e (Fri Oct 23 23:03:42 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x16a04 0x17000 5.72 8590b6de454bac693487927ef8b3ac41 .data 0x18000 0xc20 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x19000 0x4616c 0x47000 7.95 a8b4b6ca4c96521f2a1fecdd12a60a0a ( 1 imports ) > MSVBVM60.DLL: __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaAryMove, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaEnd, __vbaPut3, __vbaFreeVarList, _adj_fdiv_m64, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, -, __vbaAryDestruct, __vbaExitProc, -, __vbaOnError, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, __vbaVarIndexLoad, _CIsin, -, __vbaErase, -, __vbaVarZero, __vbaChkstk, __vbaFileClose, -, EVENT_SINK_AddRef, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaAryConstruct2, __vbaI2I4, DllFunctionCall, -, _adj_fpatan, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, EVENT_SINK_QueryInterface, __vbaStr2Vec, __vbaExceptHandler, -, -, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, -, __vbaStrVarVal, __vbaUbound, __vbaVarCat, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaVar2Vec, __vbaInStr, __vbaNew2, _adj_fdiv_m32i, -, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaAryLock, __vbaVarDup, __vbaStrToAnsi, __vbaFpI2, -, __vbaVarCopy, __vbaFpI4, -, _CIatan, __vbaAryCopy, __vbaStrMove, __vbaUI1Str, -, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaFreeStr, __vbaFreeObj, __vbaI4ErrVar, - ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Microsoft Visual Basic 6 (90.9%) Win32 Executable Generic (6.1%) Generic Win/DOS Executable (1.4%) DOS Executable Generic (1.4%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: publisher....: LXYCZNPUWY copyright....: n/a product......: VGPTIDXFBU description..: n/a original name: CQPVZJMHPY internal name: CQPVZJMHPY file version.: 1.00 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned HTML-Code: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.01 Riskware.Win32.VBInject!IK AhnLab-V3 5.0.0.2 2009.10.30 - AntiVir 7.9.1.53 2009.10.30 - Antiy-AVL 2.0.3.7 2009.10.30 - Authentium 5.1.2.4 2009.10.31 - Avast 4.8.1351.0 2009.11.01 - AVG 8.5.0.423 2009.11.01 - BitDefender 7.2 2009.11.01 - CAT-QuickHeal 10.00 2009.10.31 - ClamAV 0.94.1 2009.11.01 - Comodo 2805 2009.11.01 Heur.Suspicious DrWeb 5.0.0.12182 2009.11.01 Trojan.Inject.6473 eSafe 7.0.17.0 2009.11.01 - eTrust-Vet 35.1.7094 2009.10.30 - F-Prot 4.5.1.85 2009.10.31 - F-Secure 9.0.15370.0 2009.10.30 - Fortinet 3.120.0.0 2009.11.01 - GData 19 2009.11.01 - Ikarus T3.1.1.72.0 2009.11.01 VirTool.Win32.VBInject Jiangmin 11.0.800 2009.11.01 - K7AntiVirus 7.10.885 2009.10.31 - Kaspersky 7.0.0.125 2009.11.01 Trojan.Win32.Kreeper.ev McAfee 5788 2009.10.31 - McAfee+Artemis 5788 2009.10.31 - McAfee-GW-Edition 6.8.5 2009.11.01 - Microsoft 1.5202 2009.11.01 - NOD32 4562 2009.11.01 - Norman 6.03.02 2009.11.01 - nProtect 2009.1.8.0 2009.11.01 - Panda 10.0.2.2 2009.11.01 - PCTools 7.0.3.5 2009.10.30 - Prevx 3.0 2009.11.01 - Rising 21.53.62.00 2009.11.01 - Sophos 4.47.0 2009.11.01 - Sunbelt 3.2.1858.2 2009.11.01 - Symantec 1.4.4.12 2009.11.01 - TheHacker 6.5.0.2.058 2009.10.31 - TrendMicro 8.950.0.1094 2009.11.01 - VBA32 3.12.10.11 2009.10.30 - ViRobot 2009.10.31.2015 2009.10.31 - VirusBuster 4.6.5.0 2009.10.31 - weitere Informationen File size: 417792 bytes MD5...: 3043dfb8ff7f21bd3be945a210e461da SHA1..: 5e757f027a6c4c5df8fe4d76609cf0ad9e5d9421 SHA256: f1c2857558de7a9d1cd39f81cfadac7b96f807a7b4c52ca4212079029cf0ccdc ssdeep: 6144:4NGPzYL/zuchLQu+p5SWABQTdJoxFY4uqQf23HdHkNnZLWXxquuSdO+w:/k /zusR+p5arY4uvyBXxmSdO+w PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10e4 timedatestamp.....: 0x4ae0c0a0 (Thu Oct 22 20:29:20 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1ae68 0x1b000 5.25 5b6f44ca1600d9c49bb971133eb9043f .data 0x1c000 0x4ec 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x1d000 0x49350 0x4a000 7.98 edd83d41e13c0e298f871c1adbee20cf ( 1 imports ) > MSVBVM60.DLL: MethCallEngine, -, -, -, -, -, -, EVENT_SINK_AddRef, -, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, ProcCallEngine, -, -, -, -, -, - ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - sigcheck: publisher....: FAyrd copyright....: n/a product......: D8LiOE5Vm7Y8 description..: n/a original name: ELvRuMeHVzzN.exe internal name: ELvRuMeHVzzN file version.: 7.16.0030 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) Schon mal danke, für die Mühe. Neuinstallieren ziehe ich erst als letzte konsequenz in erwägung, damit würde mir eine Menge verloren gehen. GMER folgt. Geändert von cris (01.11.2009 um 17:51 Uhr) |
|
01.11.2009, 19:16
| #4 |
| | Fehlermeldungen beim starten von Win XP GMER: HTML-Code: GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-11-01 19:03:50
Windows 5.1.2600 Service Pack 2
Running: 2dcedyw4.exe; Driver: C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\afecipog.sys
---- System - GMER 1.0.15 ----
SSDT F14643BE ZwCreateKey
SSDT F14643B4 ZwCreateThread
SSDT F14643C3 ZwDeleteKey
SSDT F14643CD ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xF7382FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xF7383340]
SSDT F14643D2 ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xF737D0B0]
SSDT F14643A0 ZwOpenProcess
SSDT F14643A5 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF7383418]
SSDT sptd.sys ZwQueryValueKey [0xF7383298]
SSDT F14643DC ZwReplaceKey
SSDT F14643D7 ZwRestoreKey
SSDT F14643C8 ZwSetValueKey
SSDT F14643AF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload F554462C 5 Bytes JMP 861E01C8
? System32\Drivers\a0q53sm3.SYS Das System kann den angegebenen Pfad nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F737DAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F737DC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F737DB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F737E748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F737E61E] sptd.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 863D61E8
Device \FileSystem\Fastfat \FatCdrom 853C61E8
Device \Driver\PCI_NTPNP9818 \Device\00000050 sptd.sys
Device \Driver\usbohci \Device\USBPDO-0 861B0790
Device \Driver\usbehci \Device\USBPDO-1 861CC4E0
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
Device \Driver\Ftdisk \Device\HarddiskVolume1 863D81E8
Device \Driver\Cdrom \Device\CdRom0 861BE790
Device \Driver\Cdrom \Device\CdRom1 861BE790
Device \Driver\usbstor \Device\00000076 854A21E8
Device \Driver\usbstor \Device\00000077 854A21E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8560A1E8
Device \Driver\usbstor \Device\00000078 854A21E8
Device \Driver\NetBT \Device\NetbiosSmb 8560A1E8
Device \Driver\usbstor \Device\00000079 854A21E8
Device \Driver\usbohci \Device\USBFDO-0 861B0790
Device \Driver\usbstor \Device\0000007a 854A21E8
Device \Driver\usbehci \Device\USBFDO-1 861CC4E0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 854A81E8
Device \Driver\usbstor \Device\0000007b 854A21E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 854A81E8
Device \Driver\Ftdisk \Device\FtControl 863D81E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{69F3C820-7037-4D22-BBC4-F7BDE4B830EB} 8560A1E8
Device \Driver\a0q53sm3 \Device\Scsi\a0q53sm31 860C41E8
Device \Driver\a0q53sm3 \Device\Scsi\a0q53sm31Port3Path0Target0Lun0 860C41E8
Device \FileSystem\Fastfat \Fat 853C61E8
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 85497790
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -281969026
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1967338395
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x86 0xD9 0xB5 0x2E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xB3 0xEC 0xC1 0x9D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x49 0xF4 0xE7 0x43 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x23 0xBA 0xAC 0xD1 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x86 0xD9 0xB5 0x2E ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xB3 0xEC 0xC1 0x9D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x49 0xF4 0xE7 0x43 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x23 0xBA 0xAC 0xD1 ...
---- EOF - GMER 1.0.15 ---- |
|
01.11.2009, 19:46
| #5 |
| | Fehlermeldungen beim starten von Win XP EDIT: Sry ich habe irgendwie aus eienm Edit einen Doublepost gemacht... |
|
02.11.2009, 00:12
| #6 |
| /// Helfer-Team | Fehlermeldungen beim starten von Win XP hi Du hast wohl meine ausführlichen Anleitung, nicht komplett und aufmerksam gelesen! Aus deine von Dir gepostete Ergebnis, nicht ersichtlich, welche Datei wurde geprüft? Ich würde doch gerne,die Dateiname zusammen mit die Scanergebnisse sehen Also nicht auslassen,sondern wie Du es bekommst da reinkopieren! Beispiel - das zu postende Logfile von virustotal, soll wie hier, so aussehen : Code:
ATTFilter Datei windefence32.exe empfangen 2009.xx.xx xx:xx:xx (CET)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.28 -
AhnLab-V3 5.0.0.2 2009.01.28 -
AntiVir 7.9.0.60 2009.01.28 -
Authentium 5.1.0.4 2009.01.27 -
Avast 4.8.1281.0 2009.01.27 -
AVG 8.0.0.229 2009.01.28 -
...sind es insgesamt 41 Online Virus Scanner...
|
|
02.11.2009, 17:43
| #7 |
| | Fehlermeldungen beim starten von Win XP Verstanden schon, ich habe allerdings beim kopieren der Log die Überschrift übersehen.... HTML-Code: Datei windefence32.exe empfangen 2009.11.02 16:29:52 (UTC) Status: Beendet Ergebnis: 7/41 (17.08%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.02 Riskware.Win32.VBInject!IK AhnLab-V3 5.0.0.2 2009.11.02 - AntiVir 7.9.1.53 2009.11.02 TR/Kreeper.EV Antiy-AVL 2.0.3.7 2009.11.02 - Authentium 5.1.2.4 2009.11.02 - Avast 4.8.1351.0 2009.11.01 - AVG 8.5.0.423 2009.11.02 - BitDefender 7.2 2009.11.02 - CAT-QuickHeal 10.00 2009.11.02 - ClamAV 0.94.1 2009.11.02 - Comodo 2816 2009.11.02 Heur.Suspicious DrWeb 5.0.0.12182 2009.11.02 Trojan.Inject.6473 eSafe 7.0.17.0 2009.11.02 - eTrust-Vet 35.1.7097 2009.11.02 - F-Prot 4.5.1.85 2009.11.02 - F-Secure 9.0.15370.0 2009.10.30 - Fortinet 3.120.0.0 2009.11.02 - GData 19 2009.11.02 - Ikarus T3.1.1.72.0 2009.11.02 VirTool.Win32.VBInject Jiangmin 11.0.800 2009.11.02 - K7AntiVirus 7.10.886 2009.11.02 - Kaspersky 7.0.0.125 2009.11.02 Trojan.Win32.Kreeper.ev McAfee 5789 2009.11.01 - McAfee+Artemis 5789 2009.11.01 - McAfee-GW-Edition 6.8.5 2009.11.02 Trojan.Kreeper.EV Microsoft 1.5202 2009.11.02 - NOD32 4565 2009.11.02 - Norman 6.03.02 2009.11.02 - nProtect 2009.1.8.0 2009.11.02 - Panda 10.0.2.2 2009.11.01 - PCTools 7.0.3.5 2009.11.02 - Prevx 3.0 2009.11.02 - Rising 21.54.04.00 2009.11.02 - Sophos 4.47.0 2009.11.02 - Sunbelt 3.2.1858.2 2009.11.01 - Symantec 1.4.4.12 2009.11.02 - TheHacker 6.5.0.2.058 2009.10.31 - TrendMicro 8.950.0.1094 2009.11.02 - VBA32 3.12.10.11 2009.11.02 - ViRobot 2009.11.2.2017 2009.11.02 - VirusBuster 4.6.5.0 2009.11.02 - weitere Informationen File size: 417792 bytes MD5...: 3043dfb8ff7f21bd3be945a210e461da SHA1..: 5e757f027a6c4c5df8fe4d76609cf0ad9e5d9421 SHA256: f1c2857558de7a9d1cd39f81cfadac7b96f807a7b4c52ca4212079029cf0ccdc ssdeep: 6144:4NGPzYL/zuchLQu+p5SWABQTdJoxFY4uqQf23HdHkNnZLWXxquuSdO+w:/k /zusR+p5arY4uvyBXxmSdO+w PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10e4 timedatestamp.....: 0x4ae0c0a0 (Thu Oct 22 20:29:20 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1ae68 0x1b000 5.25 5b6f44ca1600d9c49bb971133eb9043f .data 0x1c000 0x4ec 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x1d000 0x49350 0x4a000 7.98 edd83d41e13c0e298f871c1adbee20cf ( 1 imports ) > MSVBVM60.DLL: MethCallEngine, -, -, -, -, -, -, EVENT_SINK_AddRef, -, DllFunctionCall, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, ProcCallEngine, -, -, -, -, -, - ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) sigcheck: publisher....: FAyrd copyright....: n/a product......: D8LiOE5Vm7Y8 description..: n/a original name: ELvRuMeHVzzN.exe internal name: ELvRuMeHVzzN file version.: 7.16.0030 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned HTML-Code: Datei svchost.exe empfangen 2009.11.02 16:38:47 (UTC) Status: Beendet Ergebnis: 2/41 (4.88%) Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.41 2009.11.02 - AhnLab-V3 5.0.0.2 2009.11.02 - AntiVir 7.9.1.53 2009.11.02 - Antiy-AVL 2.0.3.7 2009.11.02 - Authentium 5.1.2.4 2009.11.02 - Avast 4.8.1351.0 2009.11.01 - AVG 8.5.0.423 2009.11.02 - BitDefender 7.2 2009.11.02 - CAT-QuickHeal 10.00 2009.11.02 - ClamAV 0.94.1 2009.11.02 - Comodo 2816 2009.11.02 - DrWeb 5.0.0.12182 2009.11.02 - eSafe 7.0.17.0 2009.11.02 - eTrust-Vet 35.1.7097 2009.11.02 - F-Prot 4.5.1.85 2009.11.02 - F-Secure 9.0.15370.0 2009.10.30 Trojan:W32/Agent.MGS Fortinet 3.120.0.0 2009.11.02 - GData 19 2009.11.02 - Ikarus T3.1.1.72.0 2009.11.02 - Jiangmin 11.0.800 2009.11.02 - K7AntiVirus 7.10.886 2009.11.02 - Kaspersky 7.0.0.125 2009.11.02 - McAfee 5789 2009.11.01 - McAfee+Artemis 5789 2009.11.01 - McAfee-GW-Edition 6.8.5 2009.11.02 - Microsoft 1.5202 2009.11.02 - NOD32 4565 2009.11.02 - Norman 6.03.02 2009.11.02 - nProtect 2009.1.8.0 2009.11.02 - Panda 10.0.2.2 2009.11.01 - PCTools 7.0.3.5 2009.11.02 - Prevx 3.0 2009.11.02 High Risk Cloaked Malware Rising 21.54.04.00 2009.11.02 - Sophos 4.47.0 2009.11.02 - Sunbelt 3.2.1858.2 2009.11.01 - Symantec 1.4.4.12 2009.11.02 - TheHacker 6.5.0.2.058 2009.10.31 - TrendMicro 8.950.0.1094 2009.11.02 - VBA32 3.12.10.11 2009.11.02 - ViRobot 2009.11.2.2017 2009.11.02 - VirusBuster 4.6.5.0 2009.11.02 - weitere Informationen File size: 393216 bytes MD5...: 6d6df55ca46d42d600ff4112e0e7c722 SHA1..: 7897742b9fb4907e19ba715a8d574196d0e6e6e7 SHA256: 5f989703b732206ab443b42d86a0cf0fc5aead46165895d13f28a5ec15d09bf1 ssdeep: 6144:LxkV/ZnLWP2Rr+4vS24KKHPOmON8H4isINuzfh9373KxIEPSfutafVOr2RB rXXlv:Yk4vS24KKHPOH8YidshiCftfVQ2RVn2u PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x47b0 timedatestamp.....: 0x4ae2364e (Fri Oct 23 23:03:42 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x16a04 0x17000 5.72 8590b6de454bac693487927ef8b3ac41 .data 0x18000 0xc20 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x19000 0x4616c 0x47000 7.95 a8b4b6ca4c96521f2a1fecdd12a60a0a ( 1 imports ) > MSVBVM60.DLL: __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaAryMove, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaEnd, __vbaPut3, __vbaFreeVarList, _adj_fdiv_m64, -, _adj_fprem1, __vbaRecAnsiToUni, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, __vbaAryVar, -, __vbaAryDestruct, __vbaExitProc, -, __vbaOnError, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, __vbaVarIndexLoad, _CIsin, -, __vbaErase, -, __vbaVarZero, __vbaChkstk, __vbaFileClose, -, EVENT_SINK_AddRef, __vbaGenerateBoundsError, -, __vbaStrCmp, __vbaAryConstruct2, __vbaI2I4, DllFunctionCall, -, _adj_fpatan, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, -, __vbaUI1I2, _CIsqrt, EVENT_SINK_QueryInterface, __vbaStr2Vec, __vbaExceptHandler, -, -, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, -, __vbaStrVarVal, __vbaUbound, __vbaVarCat, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaVar2Vec, __vbaInStr, __vbaNew2, _adj_fdiv_m32i, -, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaAryLock, __vbaVarDup, __vbaStrToAnsi, __vbaFpI2, -, __vbaVarCopy, __vbaFpI4, -, _CIatan, __vbaAryCopy, __vbaStrMove, __vbaUI1Str, -, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaFreeStr, __vbaFreeObj, __vbaI4ErrVar, - ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Microsoft Visual Basic 6 (90.9%) Win32 Executable Generic (6.1%) Generic Win/DOS Executable (1.4%) DOS Executable Generic (1.4%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=DF94388800E5407B00B306E12CA64B0016B4639F' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=DF94388800E5407B00B306E12CA64B0016B4639F</a> sigcheck: publisher....: LXYCZNPUWY copyright....: n/a product......: VGPTIDXFBU description..: n/a original name: CQPVZJMHPY internal name: CQPVZJMHPY file version.: 1.00 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned |
|
02.11.2009, 22:02
| #8 |
| /// Helfer-Team | Fehlermeldungen beim starten von Win XP Ok Bevor wir nun loslegen mit der Reinigung,laden wir die unbekannten Dateien hoch, damit sie von den AV-Programm-Herstellern in die Signaturen aufgenommen werden können bzw zur weitere Analyse: Datei Upload
C:\WINDOWS\system32\WinDefence\windefence32.exe
|
|
02.11.2009, 22:24
| #9 |
| | Fehlermeldungen beim starten von Win XP Da muß ich aber doch noch mal nachfragen - das oberste Feld fragt nach der E-Mail Add.? Du bist dir sicher das ich da meinen Namen (RL Name? Oder Nick?) eingeben muß? EDIT: Dateien (incl. E-Mail und Log) sind jedenfalls hochgeladen und abgeschickt. Geändert von cris (02.11.2009 um 22:46 Uhr) |
|
04.11.2009, 21:16
| #10 | |
| /// Helfer-Team | Fehlermeldungen beim starten von Win XP hi 1. Lade das SDFix von AndyManchesta eine der folgenden Links herunter: bleepingcomputer.com andymanchesta.com
- Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. Kopiere den Inhalt dieses Report.txt und poste ihn! 2. Versuche bitte erneut mit Malwarebytes, im normalen Modus - eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware 3. poste erneut: Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! 4. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 5. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! Zitat:
|
|
06.11.2009, 22:39
| #11 |
| | Fehlermeldungen beim starten von Win XP Ich hoffe das ich es richtig gemacht habe: 1. SD-Fix Code:
ATTFilter b]SDFix: Version 1.240 [/b]
Run by Christoph on 05.11.2009 at 16:53
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\Christoph\Desktop\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-05 19:41:02
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:ef317e7e
"s2"=dword:7543339b
"h0"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:86,d9,b5,2e,dd,2a,9f,16,e8,22,48,01,cb,d2,99,eb,5e,57,80,d8,0c,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:23,ba,ac,d1,6f,86,7d,31,99,16,e6,43,65,50,ac,f1,2a,e7,f2,4b,83,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:86,d9,b5,2e,dd,2a,9f,16,e8,22,48,01,cb,d2,99,eb,5e,57,80,d8,0c,..
"p0"="C:\Programme\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000001
"khjeh"=hex:23,ba,ac,d1,6f,86,7d,31,99,16,e6,43,65,50,ac,f1,2a,e7,f2,4b,83,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"="C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"="C:\\Programme\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
Remaining Files :
Files with Hidden Attributes :
Thu 17 Apr 2008 48 ..SH. --- "C:\WINDOWS\SBE91ECBC.tmp"
Sun 12 Mar 2006 10,311,680 ..SH. --- "C:\Programme\AVIConverter\MENCODER.EXE"
Sat 31 Dec 2005 8,578,048 ..SH. --- "C:\Programme\AVIConverter\mencoder1.exe"
Tue 16 May 2006 393,216 ..SHR --- "C:\Programme\System Updater\svchost.exe"
Mon 29 Sep 2008 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Tue 24 Feb 2009 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Sat 3 Oct 2009 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Finished!
Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 5.1.2600 Service Pack 2
06.11.2009 22:12:03
mbam-log-2009-11-06 (22-11-55).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 210095
Laufzeit: 43 minute(s), 48 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{kg3m448l-5o10-2q3v-p76c-dv4e8brw5sj7} (Generic.Bot.H) -> No action taken.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows manager (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system updater (Trojan.Agent) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\System Updater\svchost.exe (Generic.Bot.H) -> No action taken.
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> No action taken.
5. filelist Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist 443439
Volumeseriennummer: 3460-B77A
Verzeichnis von C:\
06.11.2009 22:22 43 filelist.txt
06.11.2009 16:37 1.073.270.784 hiberfil.sys
06.11.2009 16:37 3.221.225.472 pagefile.sys
06.11.2009 16:37 41.796 aaw7boot.log
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist 443439
Volumeseriennummer: 3460-B77A
Verzeichnis von C:\WINDOWS
06.11.2009 22:15 1.601.520 WindowsUpdate.log
06.11.2009 22:14 2.947 svcpack.log
06.11.2009 16:38 0 0.log
06.11.2009 16:37 2.048 bootstat.dat
06.11.2009 00:03 32.540 SchedLgU.Txt
05.11.2009 17:46 580.230 ntbtlog.txt
05.11.2009 16:26 22.210 DirectX.log
04.11.2009 23:21 2.071 comsetup.log
04.11.2009 23:21 989 iis6.log
04.11.2009 23:21 1.265 ntdtcsetup.log
04.11.2009 23:21 2.359 tsoc.log
04.11.2009 23:21 342 ocmsn.log
04.11.2009 23:21 1.374 imsins.log
04.11.2009 23:21 18.871 KB976749-IE7.log
04.11.2009 23:21 303 msgsocm.log
04.11.2009 23:21 2.916 ocgen.log
04.11.2009 23:21 6.158 FaxSetup.log
04.11.2009 23:21 3.180 setupapi.log
04.11.2009 23:21 0 setuperr.log
04.11.2009 23:21 0 setupact.log
04.11.2009 23:21 506 updspapi.log
03.11.2009 06:52 50 wiaservc.log
03.11.2009 06:52 216 wiadebug.log
02.11.2009 20:53 116 NeroDigital.ini
01.11.2009 01:23 0 Sti_Trace.log
28.10.2009 14:57 151 PhotoSnapViewer.INI
26.10.2009 19:33 87 wininit.ini
01.07.2009 15:23 102.400 DUMP4b32.tmp
01.07.2009 15:21 102.400 DUMP4b03.tmp
01.07.2009 15:18 102.400 DUMP4e10.tmp
20.06.2009 17:05 754 WORDPAD.INI
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist 443439
Volumeseriennummer: 3460-B77A
Verzeichnis von C:\WINDOWS\system32
06.11.2009 16:38 1.158 wpa.dbl
31.10.2009 23:07 0 TUProgSt_20091031-220751.dmp
31.10.2009 21:53 0 TUProgSt_20091031-205341.dmp
31.10.2009 19:45 0 TUProgSt_20091031-184517.dmp
31.10.2009 15:46 0 TUProgSt_20091031-144635.dmp
31.10.2009 11:15 0 TUProgSt_20091031-101524.dmp
30.10.2009 16:53 0 TUProgSt_20091030-155359.dmp
29.10.2009 23:52 0 TUProgSt_20091029-225233.dmp
29.10.2009 21:18 0 TUProgSt_20091029-201800.dmp
29.10.2009 18:20 445.066 perfh009.dat
29.10.2009 18:20 72.654 perfc009.dat
29.10.2009 18:20 463.818 perfh007.dat
29.10.2009 18:20 86.412 perfc007.dat
29.10.2009 18:20 1.082.412 PerfStringBackup.INI
29.10.2009 18:09 0 TUProgSt_20091029-170929.dmp
29.10.2009 13:19 22.016 tdlwsp.dll
29.10.2009 13:16 0 TUProgSt_20091029-121628.dmp
27.10.2009 01:00 0 TUProgSt_20091027-000032.dmp
27.10.2009 00:57 0 TUProgSt_20091026-235700.dmp
27.10.2009 00:08 0 TUProgSt_20091026-230812.dmp
26.10.2009 23:51 0 TUProgSt_20091026-225114.dmp
26.10.2009 23:45 0 TUProgSt_20091026-224506.dmp
26.10.2009 22:59 0 TUProgSt_20091026-215920.dmp
26.10.2009 19:08 0 TUProgSt_20091026-180834.dmp
26.10.2009 18:59 0 TUProgSt_20091026-175948.dmp
26.10.2009 18:51 0 TUProgSt_20091026-175120.dmp
26.10.2009 17:52 0 TUProgSt_20091026-165259.dmp
26.10.2009 14:50 0 TUProgSt_20091026-135043.dmp
26.10.2009 14:33 0 TUProgSt_20091026-133339.dmp
26.10.2009 12:51 0 TUProgSt_20091026-115150.dmp
25.10.2009 22:13 0 TUProgSt_20091025-211306.dmp
25.10.2009 13:56 0 TUProgSt_20091025-125623.dmp
21.10.2009 05:06 3.598.336 mshtml.dll
04.10.2009 08:42 23.392 nscompat.tlb
04.10.2009 08:42 16.832 amcompat.tlb
03.10.2009 20:44 0 SurewestMediaServer.log
03.10.2009 16:43 149.280 javaws.exe
03.10.2009 16:43 145.184 javaw.exe
03.10.2009 16:43 73.728 javacpl.cpl
03.10.2009 16:43 145.184 java.exe
03.10.2009 16:43 411.368 deploytk.dll
02.10.2009 19:01 25.198.016 MRT.exe
11.09.2009 15:06 136.192 msv1_0.dll
04.09.2009 21:45 58.880 msasn1.dll
04.09.2009 16:44 238.936 xactengine3_5.dll
04.09.2009 16:44 69.464 XAPOFX1_3.dll
04.09.2009 16:44 515.416 XAudio2_5.dll
04.09.2009 16:29 453.456 d3dx10_42.dll
04.09.2009 16:29 235.344 d3dx11_42.dll
04.09.2009 16:29 1.974.616 D3DCompiler_42.dll
04.09.2009 16:29 5.501.792 d3dcsx_42.dll
04.09.2009 16:29 1.892.184 D3DX9_42.dll
03.09.2009 10:17 15.688 lsdelete.exe
01.09.2009 15:32 282.654 msaud32.acm
29.08.2009 08:24 233.472 webcheck.dll
29.08.2009 08:24 832.512 wininet.dll
29.08.2009 08:24 105.984 url.dll
29.08.2009 08:24 671.232 mstime.dll
29.08.2009 08:24 44.544 pngfilt.dll
29.08.2009 08:24 102.912 occache.dll
29.08.2009 08:24 1.168.384 urlmon.dll
29.08.2009 08:24 193.024 msrating.dll
29.08.2009 08:24 477.696 mshtmled.dll
29.08.2009 08:24 52.224 msfeedsbs.dll
29.08.2009 08:24 459.264 msfeeds.dll
29.08.2009 08:24 27.648 jsproxy.dll
29.08.2009 08:24 1.830.912 inetcpl.cpl
29.08.2009 08:24 6.067.200 ieframe.dll
29.08.2009 08:24 44.544 iernonce.dll
29.08.2009 08:24 268.288 iertutil.dll
29.08.2009 08:24 78.336 ieencode.dll
29.08.2009 08:24 385.024 iedkcs32.dll
29.08.2009 08:24 380.928 ieapfltr.dll
29.08.2009 08:24 230.400 ieaksie.dll
29.08.2009 08:24 63.488 icardie.dll
29.08.2009 08:24 153.088 ieakeng.dll
29.08.2009 08:24 133.120 extmgr.dll
29.08.2009 08:24 124.928 advpack.dll
29.08.2009 08:24 347.136 dxtmsft.dll
29.08.2009 08:24 214.528 dxtrans.dll
29.08.2009 08:24 17.408 corpol.dll
28.08.2009 11:28 389.120 html.iec
28.08.2009 11:28 13.824 ieudinit.exe
28.08.2009 11:28 70.656 ie4uinit.exe
27.08.2009 22:33 838.600 TZLog.log
27.08.2009 06:18 161.792 ieakui.dll
26.08.2009 09:14 247.326 strmdll.dll
13.08.2009 16:15 512.000 jscript.dll
06.08.2009 18:24 209.632 wuweb.dll
06.08.2009 18:24 327.896 wucltui.dll
06.08.2009 18:24 18.144 wuaueng.dll.mui
06.08.2009 18:24 217.816 wuaucpl.cpl
06.08.2009 18:24 44.768 wups2.dll
06.08.2009 18:24 35.552 wups.dll
06.08.2009 18:24 15.584 wuapi.dll.mui
06.08.2009 18:24 53.472 wuauclt.exe
06.08.2009 18:24 15.584 wuaucpl.cpl.mui
06.08.2009 18:24 96.480 cdm.dll
06.08.2009 18:24 23.264 wucltui.dll.mui
06.08.2009 18:23 575.704 wuapi.dll
06.08.2009 18:23 1.929.952 wuaueng.dll
05.08.2009 10:05 206.336 mswebdvd.dll
04.08.2009 18:14 2.188.288 ntoskrnl.exe
04.08.2009 18:14 2.065.280 ntkrnlpa.exe
21.07.2009 16:55 442.368 ATIDEMGX.dll
21.07.2009 16:54 325.120 ati2dvag.dll
21.07.2009 16:44 204.800 atipdlxx.dll
21.07.2009 16:44 155.648 Oemdspif.dll
21.07.2009 16:43 26.112 Ati2mdxx.exe
21.07.2009 16:43 43.520 ati2edxx.dll
21.07.2009 16:43 155.648 ati2evxx.dll
21.07.2009 16:42 602.112 ati2evxx.exe
21.07.2009 16:40 53.248 ATIDDC.DLL
21.07.2009 16:35 307.200 atiiiexx.dll
21.07.2009 16:32 11.845.632 atioglxx.dll
21.07.2009 16:32 3.818.272 ati3duag.dll
21.07.2009 16:17 2.670.720 ativvaxx.dll
21.07.2009 16:17 152.496 ativvaxx.cap
21.07.2009 16:01 49.664 amdpcom32.dll
21.07.2009 15:57 475.136 atikvmag.dll
21.07.2009 15:55 126.976 atiadlxx.dll
21.07.2009 15:54 17.408 atitvo32.dll
21.07.2009 15:53 45.056 aticalrt.dll
21.07.2009 15:53 45.056 aticalcl.dll
21.07.2009 15:52 290.816 atiok3x2.dll
21.07.2009 15:52 3.227.648 aticaldd.dll
21.07.2009 15:48 626.688 ati2cqag.dll
21.07.2009 09:40 593.920 ati2sgag.exe
17.07.2009 19:56 58.880 atl.dll
17.07.2009 17:25 1.441.792 query.dll
14.07.2009 12:03 46.080 tzchange.exe
13.07.2009 22:43 286.208 wmpdxm.dll
13.07.2009 22:43 10.841.088 wmp.dll
29.06.2009 09:33 2.452.872 ieapfltr.dat
25.06.2009 09:17 56.320 secur32.dll
25.06.2009 09:17 59.392 wdigest.dll
25.06.2009 09:17 168.448 schannel.dll
25.06.2009 09:17 301.568 kerberos.dll
25.06.2009 09:17 737.280 lsasrv.dll
16.06.2009 15:53 82.432 fontsub.dll
16.06.2009 15:53 119.808 t2embed.dll
15.06.2009 12:32 78.848 telnet.exe
10.06.2009 21:57 196.160 FNTCACHE.DAT
10.06.2009 15:22 85.504 avifil32.dll
10.06.2009 07:30 132.096 wkssvc.dll
05.06.2009 08:42 655.872 mstscax.dll
03.06.2009 20:26 1.296.384 quartz.dll
26.05.2009 14:47 1.040.384 ieframe.dll.mui
26.05.2009 12:40 18.808 spmsg.dll
20.05.2009 03:56 2.458.112 wmvcore.dll
07.05.2009 16:42 346.624 localspl.dll
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist 443439
Volumeseriennummer: 3460-B77A
Verzeichnis von C:\WINDOWS\Prefetch
06.11.2009 22:22 13.608 FIND.EXE-0EC32F1E.pf
06.11.2009 22:22 13.526 CMD.EXE-087B4001.pf
06.11.2009 22:21 17.568 WINRAR.EXE-3588DFE8.pf
06.11.2009 22:21 21.044 VERCLSID.EXE-3667BD89.pf
06.11.2009 22:21 30.490 EXPLORER.EXE-082F38A9.pf
06.11.2009 22:21 55.158 WINZIP32.EXE-335422C1.pf
06.11.2009 22:20 24.048 JQSNOTIFY.EXE-1E60A522.pf
06.11.2009 22:20 98.198 FIREFOX.EXE-1D57670A.pf
06.11.2009 22:19 23.062 NOTEPAD.EXE-336351A9.pf
06.11.2009 22:19 99.230 WMIPRVSE.EXE-28F301A9.pf
06.11.2009 22:19 24.358 HIJACKTHIS.EXE-39024128.pf
06.11.2009 22:14 2.144 UPDATE.EXE-1BA23A8F.pf
06.11.2009 22:14 24.866 WUAUCLT.EXE-399A8E72.pf
06.11.2009 22:13 50.048 AVWSC.EXE-24612965.pf
06.11.2009 22:12 124.370 DWWIN.EXE-30875ADC.pf
06.11.2009 22:12 76.976 DUMPREP.EXE-1B46F901.pf
06.11.2009 22:12 15.796 REGEDIT.EXE-1B606482.pf
06.11.2009 22:01 29.502 UPDATETASK.EXE-074282C7.pf
06.11.2009 21:36 51.698 UPDATE.EXE-3398FCD6.pf
06.11.2009 20:26 39.274 DFRGNTFS.EXE-269967DF.pf
06.11.2009 20:26 17.566 DEFRAG.EXE-273F131E.pf
06.11.2009 20:26 221.804 Layout.ini
06.11.2009 17:56 110.124 WINAMP.EXE-08C38ED9.pf
06.11.2009 17:56 52.296 MBAM.EXE-11D8BBD8.pf
06.11.2009 16:58 17.652 CTFMON.EXE-0E17969B.pf
06.11.2009 16:58 22.032 SVCHOST.EXE-0B3EDCFD.pf
06.11.2009 16:58 19.474 GUARDGUI.EXE-147E0160.pf
06.11.2009 16:43 20.134 JAVA.EXE-2167859B.pf
06.11.2009 16:39 57.970 AAWTRAY.EXE-31E33C30.pf
06.11.2009 16:39 26.222 THREATWORK.EXE-2CC668FF.pf
06.11.2009 16:39 27.356 AAWWSC.EXE-3513A2B5.pf
06.11.2009 16:39 54.028 AVGNT.EXE-39CD89BF.pf
06.11.2009 16:39 68.182 IMAPI.EXE-0BF740A4.pf
06.11.2009 16:39 12.678 JUSCHED.EXE-336229D9.pf
06.11.2009 16:39 15.378 SOUNDMAN.EXE-19745A34.pf
06.11.2009 16:39 15.020 KHALMNPR.EXE-098E13FC.pf
06.11.2009 16:39 959.218 NTOSBOOT-B00DFAAD.pf
06.11.2009 00:03 77.052 LOGONUI.EXE-0AF22957.pf
05.11.2009 22:57 79.688 HELPSVC.EXE-2878DDA2.pf
05.11.2009 19:58 65.580 AAWSERVICE.EXE-1E1DE6D1.pf
05.11.2009 16:25 15.680 RUNDLL32.EXE-451FC2C0.pf
04.11.2009 22:36 66.980 CSC.EXE-01730C27.pf
04.11.2009 22:36 17.678 CVTRES.EXE-2329DCD5.pf
04.11.2009 14:39 18.630 WINDEFENCE32.EXE-2F822AE6.pf
02.11.2009 20:53 41.372 SVCHOST.EXE-3530F672.pf
07.08.2009 11:07 30.790 AVWSC.EXE-2F6C3C95.pf
46 Datei(en) 2.965.548 Bytes
0 Verzeichnis(se), 75.672.637.440 Bytes frei
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist 443439
Volumeseriennummer: 3460-B77A
Verzeichnis von C:\WINDOWS\tasks
06.11.2009 22:01 234 Scheduled Update for Ask Toolbar.job
06.11.2009 16:39 470 Ad-Aware Update (Weekly).job
06.11.2009 16:37 6 SA.DAT
----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist 443439
Volumeseriennummer: 3460-B77A
Verzeichnis von C:\WINDOWS\Temp
06.11.2009 16:38 409 WGANotify.settings
06.11.2009 16:38 255 WGAErrLog.txt
06.11.2009 16:37 16.384 Perflib_Perfdata_10c.dat
05.11.2009 19:26 0 T30DebugLogFile.txt
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist 443439
Volumeseriennummer: 3460-B77A
Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp
06.11.2009 22:22 8 XxX.xXx
06.11.2009 22:22 8 UuU.uUu
06.11.2009 17:55 311.296 ~DF20C0.tmp
06.11.2009 16:58 464 IEWEB.abc
06.11.2009 16:58 4.087 IEPASS.abc
06.11.2009 16:58 36 IELOGIN.abc
06.11.2009 16:58 1.655 FIREFOX.abc
06.11.2009 16:43 442 jusched.log
05.11.2009 19:58 311.296 ~DF94C7.tmp
|
|
06.11.2009, 22:41
| #12 |
| | Fehlermeldungen beim starten von Win XP Und hier noch: 3. Hijackthis Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:19:36, on 06.11.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16915) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Avira\AntiVir Desktop\update.exe C:\Programme\trend micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.4players.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\Run: [System Updater] C:\Programme\System Updater\svchost.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WinDefence32] C:\WINDOWS\system32\WinDefence\windefence32.exe O4 - HKCU\..\Run: [Windows Manager] C:\Programme\System Updater\svchost.exe O4 - HKLM\..\Policies\Explorer\Run: [Windows Manager] C:\Programme\System Updater\svchost.exe O4 - HKCU\..\Policies\Explorer\Run: [Windows Manager] C:\Programme\System Updater\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod Service - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: PS3 Media Server - Unknown owner - C:\Programme\PS3 Media Server\win32\service\wrapper.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe -- End of file - 7696 bytes |
|
08.11.2009, 23:28
| #13 |
| /// Helfer-Team | Fehlermeldungen beim starten von Win XP hi 1. Behindern uns nur bei der Reinigung, bitte folgende Dienste abstellen: - unter `Systemsteuerung -> Verwaltung -> Dienste, gibst Du in das Dialogfenster den Befehl services.msc -> Ok mit der rechten Maustaste auf den Dienstnamen klicken→ wähle `Eigenschaften`→ `Starttyp`→ Manuell, damit wird der Dienst ruhiggestellt. Den Dienst erst dann nur starten, wenn ein Programm ihn benötigt. Code:
ATTFilter Firebird Server - MAGIX Instance
Lavasoft Ad-Aware Service
StarWind AE Service
TuneUp Drive Defrag-Dienst
TuneUp Program Statistics Service
SecuROM User Access Service
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code:
ATTFilter O4 - HKLM\..\Run: [System Updater] C:\Programme\System Updater\svchost.exe
O4 - HKCU\..\Run: [WinDefence32] C:\WINDOWS\system32\WinDefence\windefence32.exe
O4 - HKCU\..\Run: [Windows Manager] C:\Programme\System Updater\svchost.exe
O4 - HKLM\..\Policies\Explorer\Run: [Windows Manager] C:\Programme\System Updater\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Manager] C:\Programme\System Updater\svchost.exe
Ich würde gerne noch all deine installierten Programme sehen: - klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 4. → besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren: → Tipps für die Suche nach Dateien Code:
ATTFilter C:\WINDOWS\system32\tdlwsp.dll
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst (NICHT AUSLASSEN!) da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1) |
|
| Themen zu Fehlermeldungen beim starten von Win XP |
| abgesicherten modus, anwendung, beendet, beim starten, explorer.exe, explorer.exe fehler, fehlermeldungen, festgestellt, firefox.exe, folge, gen, keine updates, log, malware, malwarebytes, nicht mehr, problem, scan, speicher, starten, startet, updates, verweist auf speicher, viren, win, win xp, windows, öffnen |
Linear-Darstellung
