|
Log-Analyse und Auswertung: RUNDLL:Fehler beim Laden von dkgf.ffoWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.11.2009, 18:06 | #1 |
| RUNDLL:Fehler beim Laden von dkgf.ffo Nach der oben genannten Meldung "RUNDLL:Fehler beim Laden von dkgf.ffo" kam folgende Fehlermeldung >System wird heruntergefahren NT-Autorität/Sytem ausgelöst< Durch das cmd konnte ich mit dem Befehl shutdown -a einen Neustart verhindern. Allerdings kommt die Meldung beim jeden Neustart!!! In Google fand ich raus dass es sich möglicherweise um einen W32.Blaster.Worm handelt, allerdings ist mir unklar wie sich der Pc damit hätte infizieren können. Die Hijack Log-File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:38:44, on 12.11.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\sdra64.exe C:\WINDOWS\explorer.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe C:\Programme\Razer\Diamondback 3G\razerhid.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Razer\Diamondback 3G\razertra.exe C:\Programme\Razer\Diamondback 3G\razerofa.exe C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe C:\Dokumente und Einstellungen\MusterPC\Desktop\MSD_0.655\MSD 0.655\MSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr9/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe dkgf.ffo axony F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\walde-prog\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\WALDE-~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback 3G\razerhid.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\games\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\games\PartyPoker\PartyPoker\RunApp.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WALDE-~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WALDE-~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: nTune Service (nTuneService) - Unknown owner - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6606 bytes Bitte um Hilfe MfG xxx |
13.11.2009, 09:27 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | RUNDLL:Fehler beim Laden von dkgf.ffo Hallo,
__________________Da sind einige Schädlinge ersichtlich. Lade dir aber zuerst mal Lop S&D herunter. Führe Lop S&D.exe per Doppelklick aus. Wähle die Sprache deiner Wahl und anschließend die Option 1. Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).
__________________ |
13.11.2009, 12:54 | #3 |
/// Winkelfunktion /// TB-Süch-Tiger™ | RUNDLL:Fehler beim Laden von dkgf.ffo @ColtCobra: Würdest Du bitte einen eigenen Strang für Dein individuelles Problem aufmachen?? Danke.
__________________
__________________ |
13.11.2009, 13:30 | #4 |
| RUNDLL:Fehler beim Laden von dkgf.ffo Hi danke erstmal für die Antwort Wie Beschrieben hab ich die Exe ausgeführt und den Bericht reinkopiert: --------------------\\ Lop S&D 4.2.5-0 XP/Vista ( : ) USER : MusterPC ( Administrator ) Firewall : ZoneAlarm Pro Firewall 7.0.483.000 (Activated) "C:\Lop SD" ( MAJ : 19-12-2008|23:40 ) Option : [1] ( 13.11.2009|13:16 ) --------------------\\ Ordner Verzeichnis unter ANWEND~1 [07.09.2007|12:37] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft [17.12.2008|13:38] C:\DOKUME~1\ADMINI~1\ANWEND~1\Mozilla [0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes [4|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei [12.11.2009|18:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\12024064 [24.11.2007|13:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe [11.03.2009|20:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ATI [09.03.2008|17:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira [13.12.2007|20:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Azureus [28.11.2008|16:31] C:\DOKUME~1\ALLUSE~1\ANWEND~1\BVRP Software [23.06.2008|18:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ICQ [28.10.2007|11:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\InstallShield [19.01.2008|11:37] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft [16.06.2008|18:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Logitech [02.01.2009|11:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes [26.03.2009|18:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft [17.12.2008|19:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Raxco [12.06.2009|15:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype [28.11.2008|16:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sony Ericsson [07.08.2008|10:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy [29.07.2008|11:45] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP [16.03.2008|13:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software [29.07.2008|14:35] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ubisoft [04.10.2008|14:33] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ulead Systems [24.09.2007|10:59] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage [02.01.2009|22:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Yahoo! [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes [24|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei [07.09.2007|12:37] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes [3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei [11.01.2008|09:00] C:\DOKUME~1\MusterPC\ANWEND~1\Adobe [22.01.2008|19:19] C:\DOKUME~1\MusterPC\ANWEND~1\AdobeUM [30.12.2007|17:19] C:\DOKUME~1\MusterPC\ANWEND~1\Ahead [12.03.2009|15:24] C:\DOKUME~1\MusterPC\ANWEND~1\ATI [28.07.2009|07:43] C:\DOKUME~1\MusterPC\ANWEND~1\Azureus [08.12.2007|14:44] C:\DOKUME~1\MusterPC\ANWEND~1\ChessBase [12.02.2009|17:28] C:\DOKUME~1\MusterPC\ANWEND~1\FRITZ! [23.10.2009|22:39] C:\DOKUME~1\MusterPC\ANWEND~1\gtk-2.0 [01.11.2009|16:38] C:\DOKUME~1\MusterPC\ANWEND~1\Hamachi [09.04.2008|22:57] C:\DOKUME~1\MusterPC\ANWEND~1\Help [27.04.2009|20:13] C:\DOKUME~1\MusterPC\ANWEND~1\ICQ [23.09.2007|15:25] C:\DOKUME~1\MusterPC\ANWEND~1\ICQLite [07.09.2007|18:10] C:\DOKUME~1\MusterPC\ANWEND~1\Identities [18.01.2009|20:23] C:\DOKUME~1\MusterPC\ANWEND~1\InstallShield [12.11.2009|18:20] C:\DOKUME~1\MusterPC\ANWEND~1\Lavasoft [07.06.2008|20:31] C:\DOKUME~1\MusterPC\ANWEND~1\Macromedia [03.05.2009|07:33] C:\DOKUME~1\MusterPC\ANWEND~1\McLoad [12.12.2008|21:25] C:\DOKUME~1\MusterPC\ANWEND~1\Microsoft [10.12.2007|20:46] C:\DOKUME~1\MusterPC\ANWEND~1\Microsoft Web Folders [28.08.2008|16:57] C:\DOKUME~1\MusterPC\ANWEND~1\Mozilla [16.09.2007|16:22] C:\DOKUME~1\MusterPC\ANWEND~1\Notepad++ [12.11.2009|20:24] C:\DOKUME~1\MusterPC\ANWEND~1\OpenOffice.org2 [10.04.2008|22:56] C:\DOKUME~1\MusterPC\ANWEND~1\Replay Explorer [12.12.2008|21:25] C:\DOKUME~1\MusterPC\ANWEND~1\RuTast [28.07.2009|07:05] C:\DOKUME~1\MusterPC\ANWEND~1\Skype [28.07.2009|07:03] C:\DOKUME~1\MusterPC\ANWEND~1\skypePM [03.05.2009|11:05] C:\DOKUME~1\MusterPC\ANWEND~1\soul.im [03.10.2007|09:45] C:\DOKUME~1\MusterPC\ANWEND~1\Sun [22.02.2009|23:28] C:\DOKUME~1\MusterPC\ANWEND~1\teamspeak2 [16.09.2007|16:31] C:\DOKUME~1\MusterPC\ANWEND~1\TextPad [01.11.2009|16:56] C:\DOKUME~1\MusterPC\ANWEND~1\TuneUp Software [04.10.2008|14:33] C:\DOKUME~1\MusterPC\ANWEND~1\Ulead Systems [19.08.2008|19:29] C:\DOKUME~1\MusterPC\ANWEND~1\Ventrilo [07.06.2008|21:22] C:\DOKUME~1\MusterPC\ANWEND~1\vlc [20.12.2007|21:07] C:\DOKUME~1\MusterPC\ANWEND~1\Winamp [31.05.2009|14:57] C:\DOKUME~1\MusterPC\ANWEND~1\WinRAR [02.01.2009|22:01] C:\DOKUME~1\MusterPC\ANWEND~1\Yahoo! [0|Datei(en)] C:\DOKUME~1\MusterPC\ANWEND~1\Bytes [39|Verzeichnis(se),] C:\DOKUME~1\MusterPC\ANWEND~1\Bytes frei [06.07.2008|17:32] C:\DOKUME~1\LOCALS~1\ANWEND~1\Macromedia [07.09.2007|12:37] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft [06.07.2008|17:32] C:\DOKUME~1\LOCALS~1\ANWEND~1\skypePM [19.04.2008|09:27] C:\DOKUME~1\LOCALS~1\ANWEND~1\Xfire [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes [6|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei [14.01.2008|11:31] C:\DOKUME~1\User2\ANWEND~1\Adobe [22.12.2007|11:04] C:\DOKUME~1\User2\ANWEND~1\AdobeUM [23.12.2007|15:54] C:\DOKUME~1\User2\ANWEND~1\Ahead [13.03.2009|08:00] C:\DOKUME~1\User2\ANWEND~1\ATI [02.04.2009|09:52] C:\DOKUME~1\User2\ANWEND~1\Help [08.09.2007|11:28] C:\DOKUME~1\User2\ANWEND~1\Identities [24.09.2007|08:08] C:\DOKUME~1\User2\ANWEND~1\Macromedia [10.11.2009|19:12] C:\DOKUME~1\User2\ANWEND~1\Microsoft [30.08.2008|06:30] C:\DOKUME~1\User2\ANWEND~1\Mozilla [13.11.2009|11:12] C:\DOKUME~1\User2\ANWEND~1\OpenOffice.org2 [15.10.2007|09:13] C:\DOKUME~1\User2\ANWEND~1\Sun [12.11.2009|13:42] C:\DOKUME~1\User2\ANWEND~1\U3 [18.08.2008|10:26] C:\DOKUME~1\User2\ANWEND~1\Ubisoft [08.09.2008|10:56] C:\DOKUME~1\User2\ANWEND~1\Ventrilo [17.07.2008|13:03] C:\DOKUME~1\User2\ANWEND~1\vlc [18.08.2008|10:31] C:\DOKUME~1\User2\ANWEND~1\Xfire [0|Datei(en)] C:\DOKUME~1\User2\ANWEND~1\Bytes [18|Verzeichnis(se),] C:\DOKUME~1\User2\ANWEND~1\Bytes frei [07.09.2007|12:37] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei [12.01.2008|08:38] C:\DOKUME~1\User3\ANWEND~1\Adobe [24.01.2008|13:00] C:\DOKUME~1\User3\ANWEND~1\AdobeUM [28.12.2007|19:22] C:\DOKUME~1\User3\ANWEND~1\Ahead [05.04.2009|17:03] C:\DOKUME~1\User3\ANWEND~1\ATI [05.12.2007|19:07] C:\DOKUME~1\User3\ANWEND~1\ChessBase [20.05.2009|22:30] C:\DOKUME~1\User3\ANWEND~1\ICQ [08.09.2007|11:28] C:\DOKUME~1\User3\ANWEND~1\Identities [27.09.2007|12:57] C:\DOKUME~1\User3\ANWEND~1\Macromedia [02.01.2009|17:15] C:\DOKUME~1\User3\ANWEND~1\Malwarebytes [01.03.2009|15:34] C:\DOKUME~1\User3\ANWEND~1\Microsoft [07.09.2008|15:55] C:\DOKUME~1\User3\ANWEND~1\Mozilla [12.11.2009|18:01] C:\DOKUME~1\User3\ANWEND~1\OpenOffice.org2 [02.01.2009|18:06] C:\DOKUME~1\User3\ANWEND~1\Skype [27.09.2007|19:11] C:\DOKUME~1\User3\ANWEND~1\Sun [12.11.2009|13:30] C:\DOKUME~1\User3\ANWEND~1\U3 [01.10.2008|16:06] C:\DOKUME~1\User3\ANWEND~1\vlc [0|Datei(en)] C:\DOKUME~1\User3\ANWEND~1\Bytes [18|Verzeichnis(se),] C:\DOKUME~1\User3\ANWEND~1\Bytes frei [11.01.2008|11:35] C:\DOKUME~1\User4\ANWEND~1\Adobe [24.11.2007|15:04] C:\DOKUME~1\User4\ANWEND~1\AdobeUM [11.09.2007|15:21] C:\DOKUME~1\User4\ANWEND~1\Ahead [11.03.2009|17:44] C:\DOKUME~1\User4\ANWEND~1\ATI [17.12.2008|12:07] C:\DOKUME~1\User4\ANWEND~1\Azureus [06.12.2007|12:42] C:\DOKUME~1\User4\ANWEND~1\ChessBase [15.04.2008|11:39] C:\DOKUME~1\User4\ANWEND~1\concept design [24.12.2008|16:36] C:\DOKUME~1\User4\ANWEND~1\CPUControl [29.04.2009|16:30] C:\DOKUME~1\User4\ANWEND~1\FOG Downloader [07.09.2007|13:45] C:\DOKUME~1\User4\ANWEND~1\FRITZ! [28.02.2008|18:31] C:\DOKUME~1\User4\ANWEND~1\gtk-2.0 [08.09.2007|14:25] C:\DOKUME~1\User4\ANWEND~1\gtopala [08.03.2008|18:55] C:\DOKUME~1\User4\ANWEND~1\Hamachi [08.09.2007|12:42] C:\DOKUME~1\User4\ANWEND~1\Help [09.09.2008|17:09] C:\DOKUME~1\User4\ANWEND~1\ICQ [12.10.2007|15:37] C:\DOKUME~1\User4\ANWEND~1\ICQ Toolbar [24.09.2007|07:11] C:\DOKUME~1\User4\ANWEND~1\ICQLite [07.09.2007|12:41] C:\DOKUME~1\User4\ANWEND~1\Identities [25.12.2008|16:45] C:\DOKUME~1\User4\ANWEND~1\InstallShield Installation Information [18.01.2008|16:00] C:\DOKUME~1\User4\ANWEND~1\Lavasoft [23.03.2009|14:13] C:\DOKUME~1\User4\ANWEND~1\Leadertech [23.03.2009|20:29] C:\DOKUME~1\User4\ANWEND~1\LimeWire [23.09.2007|08:22] C:\DOKUME~1\User4\ANWEND~1\Macromedia [02.01.2009|11:27] C:\DOKUME~1\User4\ANWEND~1\Malwarebytes [21.11.2008|17:33] C:\DOKUME~1\User4\ANWEND~1\Microsoft [28.08.2008|14:17] C:\DOKUME~1\User4\ANWEND~1\Mozilla [11.09.2007|15:30] C:\DOKUME~1\User4\ANWEND~1\NeroVision [30.11.2008|12:27] C:\DOKUME~1\User4\ANWEND~1\OpenOffice.org2 [20.12.2007|14:16] C:\DOKUME~1\User4\ANWEND~1\Opera [28.08.2009|18:13] C:\DOKUME~1\User4\ANWEND~1\Skype [28.08.2009|16:11] C:\DOKUME~1\User4\ANWEND~1\skypePM [26.09.2007|17:06] C:\DOKUME~1\User4\ANWEND~1\Sun [15.06.2009|15:30] C:\DOKUME~1\User4\ANWEND~1\teamspeak2 [08.09.2007|12:35] C:\DOKUME~1\User4\ANWEND~1\TuneUp Software [29.07.2009|15:17] C:\DOKUME~1\User4\ANWEND~1\U3 [29.07.2008|14:35] C:\DOKUME~1\User4\ANWEND~1\Ubisoft [28.02.2008|16:46] C:\DOKUME~1\User4\ANWEND~1\Ulead Systems [23.08.2008|11:52] C:\DOKUME~1\User4\ANWEND~1\Ventrilo [06.06.2008|14:58] C:\DOKUME~1\User4\ANWEND~1\vlc [20.12.2007|13:13] C:\DOKUME~1\User4\ANWEND~1\Winamp [10.10.2007|10:36] C:\DOKUME~1\User4\ANWEND~1\WinRAR [29.04.2008|18:08] C:\DOKUME~1\User4\ANWEND~1\Xfire [03.01.2008|13:11] C:\DOKUME~1\User4\ANWEND~1\Xilisoft Corporation [03.01.2009|13:21] C:\DOKUME~1\User4\ANWEND~1\Yahoo! [0|Datei(en)] C:\DOKUME~1\User4\ANWEND~1\Bytes [46|Verzeichnis(se),] C:\DOKUME~1\User4\ANWEND~1\Bytes frei --------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks [13.11.2009 13:12][--a------] C:\WINDOWS\tasks\1-Klick-Wartung.job [13.11.2009 13:12][--ah-----] C:\WINDOWS\tasks\SA.DAT [18.08.2001 20:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini --------------------\\ Ordner Verzeichnis unter C:\Programme [24.11.2007|13:04] C:\Programme\Adobe [11.09.2007|15:22] C:\Programme\Ahead [09.09.2007|10:19] C:\Programme\Alcohol Soft [11.03.2009|20:12] C:\Programme\ATI Technologies [28.11.2008|16:36] C:\Programme\Avanquest update [09.03.2008|17:02] C:\Programme\Avira [08.09.2007|14:11] C:\Programme\CCleaner [07.09.2007|12:36] C:\Programme\ComPlus Applications [07.09.2007|12:57] C:\Programme\Creative [21.08.2008|17:22] C:\Programme\DIFX [08.09.2007|18:57] C:\Programme\directx [23.05.2008|10:02] C:\Programme\DVDVideoSoft [03.01.2009|19:46] C:\Programme\FRITZ!Box [03.01.2009|19:46] C:\Programme\FRITZ!BoxPrint [03.01.2009|19:47] C:\Programme\FRITZ!DSL [12.06.2009|15:24] C:\Programme\Gemeinsame Dateien [07.09.2007|12:47] C:\Programme\GIGABYTE [25.09.2007|15:25] C:\Programme\GIMP 2.0 [16.10.2009|09:27] C:\Programme\Google [29.09.2007|21:11] C:\Programme\Hamachi [15.03.2009|19:47] C:\Programme\ICQ6 [26.07.2009|17:24] C:\Programme\InstallShield Installation Information [13.09.2007|20:01] C:\Programme\Intel [11.03.2009|17:24] C:\Programme\Internet Explorer [21.03.2008|11:19] C:\Programme\Java [12.09.2007|12:02] C:\Programme\Lavalys [16.06.2008|18:47] C:\Programme\Logitech [17.12.2008|15:37] C:\Programme\Messenger [10.09.2007|11:43] C:\Programme\mg8 [07.09.2007|12:38] C:\Programme\microsoft frontpage [26.03.2009|18:00] C:\Programme\Microsoft Games for Windows - LIVE [10.12.2007|20:46] C:\Programme\Microsoft Word [16.10.2009|07:15] C:\Programme\Movie Maker [13.11.2009|13:14] C:\Programme\Mozilla Firefox [25.12.2008|16:44] C:\Programme\MSBuild [07.09.2007|12:36] C:\Programme\MSN Gaming Zone [15.09.2007|17:02] C:\Programme\Navigo [17.12.2008|14:55] C:\Programme\NetMeeting [02.03.2009|19:37] C:\Programme\NVIDIA Corporation [02.03.2009|19:37] C:\Programme\NVIDIA nTune Performance Application [07.09.2007|12:37] C:\Programme\Online-Dienste [24.09.2007|16:36] C:\Programme\OpenOffice.org 2.3 [17.12.2008|14:55] C:\Programme\Outlook Express [10.10.2009|09:51] C:\Programme\Paint.NET [18.12.2007|12:16] C:\Programme\Philips [16.10.2009|10:17] C:\Programme\Photo Collage Maker [16.09.2007|16:50] C:\Programme\PhotoFiltre [12.11.2009|18:48] C:\Programme\PhotoMix [25.01.2008|23:24] C:\Programme\PrivacyEraser Computing [21.08.2008|17:22] C:\Programme\Razer [25.12.2008|16:42] C:\Programme\Reference Assemblies [22.11.2008|10:32] C:\Programme\RGSS-RTP [08.09.2007|10:05] C:\Programme\SEC [17.02.2008|16:58] C:\Programme\Sony Ericsson [18.11.2008|21:37] C:\Programme\SystemRequirementsLab [16.09.2007|16:07] C:\Programme\Teamspeak2_RC2 [07.01.2008|14:17] C:\Programme\themexp [12.11.2009|17:38] C:\Programme\Trend Micro [07.09.2007|13:39] C:\Programme\TRUST [04.10.2008|14:33] C:\Programme\Ulead Systems [07.09.2007|12:41] C:\Programme\Uninstall Information [19.08.2008|19:27] C:\Programme\Ventrilo [28.08.2009|18:13] C:\Programme\Warcraft III [19.08.2008|13:29] C:\Programme\WC3Banlist [18.11.2008|21:40] C:\Programme\Winamp [26.03.2009|18:02] C:\Programme\Windows Media Player [07.09.2007|13:36] C:\Programme\Windows Media-Komponenten [17.12.2008|14:55] C:\Programme\Windows NT [08.12.2008|20:22] C:\Programme\WindowsUpdate [23.09.2007|09:24] C:\Programme\WinPcap [30.03.2008|20:04] C:\Programme\WinRAR [07.09.2007|12:38] C:\Programme\xerox [03.01.2009|13:21] C:\Programme\Yahoo! [17.12.2008|15:56] C:\Programme\Zone Labs [0|Datei(en)] C:\Programme\Bytes [76|Verzeichnis(se),] C:\Programme\Bytes frei --------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien [17.12.2008|14:05] C:\Programme\Gemeinsame Dateien\Adobe [11.09.2007|15:20] C:\Programme\Gemeinsame Dateien\Ahead [03.01.2009|19:47] C:\Programme\Gemeinsame Dateien\AVM [13.03.2009|19:19] C:\Programme\Gemeinsame Dateien\Blizzard Entertainment [10.12.2007|20:46] C:\Programme\Gemeinsame Dateien\Designer [07.09.2007|12:36] C:\Programme\Gemeinsame Dateien\Dienste [20.10.2007|14:29] C:\Programme\Gemeinsame Dateien\DirectX [24.11.2008|21:50] C:\Programme\Gemeinsame Dateien\DVDVideoSoft [07.09.2007|13:09] C:\Programme\Gemeinsame Dateien\GIS [25.09.2007|15:22] C:\Programme\Gemeinsame Dateien\GTK [28.10.2007|11:16] C:\Programme\Gemeinsame Dateien\InstallShield [23.09.2007|14:33] C:\Programme\Gemeinsame Dateien\Java [16.06.2008|18:47] C:\Programme\Gemeinsame Dateien\Logitech [10.09.2007|11:41] C:\Programme\Gemeinsame Dateien\mapserv [01.07.2008|17:28] C:\Programme\Gemeinsame Dateien\Microsoft Shared [07.09.2007|12:36] C:\Programme\Gemeinsame Dateien\MSSoap [07.09.2007|18:58] C:\Programme\Gemeinsame Dateien\ODBC [12.06.2009|15:24] C:\Programme\Gemeinsame Dateien\Skype [07.09.2007|18:58] C:\Programme\Gemeinsame Dateien\SpeechEngines [17.12.2008|14:55] C:\Programme\Gemeinsame Dateien\System [07.09.2007|13:35] C:\Programme\Gemeinsame Dateien\Ulead Systems [11.03.2009|16:37] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes [24|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei --------------------\\ Process ( 30 Processes ) ... OK ! --------------------\\ Ueberpruefung mit S_Lop Kein Lop Ordner gefunden ! --------------------\\ Suche nach Lop Dateien - Ordnern Kein Lop Ordner gefunden ! --------------------\\ Suche innerhalb der Registry ..... OK ! --------------------\\ Ueberpruefung der Hosts Datei Hosts Datei SAUBER --------------------\\ Suche nach verborgenen Dateien mit Catchme catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-11-13 13:17:34 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden files: 0 --------------------\\ Suche nach anderen Infektionen --------------------\\ ROGUES .. C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\Privacy Eraser Pro C:\PROGRA~1\PrivacyEraser Computing --------------------\\ Cracks & Keygens .. C:\DOKUME~1\MusterPC\Desktop\LAPTOP\GESENDET\pics\FUNNY\haha\Biking_With_Crack.jpg [F:120][D:25]-> C:\DOKUME~1\MusterPC\LOKALE~1\Temp [F:7][D:0]-> C:\DOKUME~1\MusterPC\Cookies [F:49][D:4]-> C:\DOKUME~1\MusterPC\LOKALE~1\TEMPOR~1\content.IE5 1 - "C:\Lop SD\LopR_1.txt" - 13.11.2009|13:19 - Option : [1] --------------------\\ Scan beendet um 13:19:11 |
13.11.2009, 13:35 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | RUNDLL:Fehler beim Laden von dkgf.ffo Ok. Bitte nun diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ Logfiles bitte immer in CODE-Tags posten |
13.11.2009, 16:03 | #6 |
| RUNDLL:Fehler beim Laden von dkgf.ffo So alles soweit erledigt nach dem Scan von Anti-Malware wurde mein Problem behoben, die Files stell ich trotzdem mal rein, falls es noch irgenetwas gibt... Hier die Logfiles: KLICK Ich hab auch nochmal einen Scan mit Hijack gemacht nachdem das Problem behoben wurde |
13.11.2009, 16:06 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | RUNDLL:Fehler beim Laden von dkgf.ffo Oje, das ist eine ZBot-Infektion!! Ich kann eine Bereinigung nicht mehr wirklich empfehlen, Du solltest über eine Neuinstallation nachdenken!! Bitte mal Combofix ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
13.11.2009, 17:57 | #8 |
| RUNDLL:Fehler beim Laden von dkgf.ffo Hat ein bisschen länger gedauert...bin infiziert :S Kann sich die Infektion auch über w-lan auf mein laptop eingeschlichen haben? ComboFix 09-11-13.06 - Ju714 13.11.2009 17:09.1.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1632 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\MusterPC\Desktop\cofi.exe FW: ZoneAlarm Pro Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\MusterPC\Favoriten\Videos.url c:\windows\system32\_000000_.tmp.dll c:\windows\system32\clrviddc.dll c:\windows\system32\i c:\windows\system32\ntSVc.ocx c:\windows\wl.exe Infizierte Kopie von c:\windows\system32\drivers\atapi.sys wurde gefunden und desinfiziert Kopie von - c:\windows\ServicePackFiles\i386\atapi.sys wurde wiederhergestellt . ((((((((((((((((((((((( Dateien erstellt von 2009-10-13 bis 2009-11-13 )))))))))))))))))))))))))))))) . 2009-11-13 14:51 . 2009-11-13 14:57 -------- d-----w- C:\rsit 2009-11-13 13:05 . 2009-11-13 13:05 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\Malwarebytes 2009-11-13 13:01 . 2007-10-23 08:27 110592 ----a-w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\U3\temp\cleanup.exe 2009-11-13 13:00 . 2009-11-13 13:01 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\U3 2009-11-13 12:15 . 2009-11-13 12:19 -------- d-----w- C:\Lop SD 2009-11-12 17:20 . 2009-11-12 17:20 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\Lavasoft 2009-11-12 16:38 . 2009-11-12 16:38 -------- d-----w- c:\programme\Trend Micro 2009-11-12 16:23 . 2009-11-12 16:24 11 ----a-w- C:\shutdown-a.exe 2009-11-12 12:42 . 2009-11-12 12:42 -------- d-----w- c:\dokumente und einstellungen\Natalie\Anwendungsdaten\U3 2009-11-12 12:30 . 2007-10-23 08:27 110592 ----a-w- c:\dokumente und einstellungen\Oleg\Anwendungsdaten\U3\temp\cleanup.exe 2009-11-12 12:29 . 2009-11-12 12:30 -------- d-----w- c:\dokumente und einstellungen\Oleg\Anwendungsdaten\U3 2009-11-01 15:56 . 2009-11-01 15:56 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\TuneUp Software 2009-10-30 20:20 . 2009-10-30 20:20 -------- d--h--w- c:\windows\PIF 2009-10-16 17:11 . 1998-11-23 10:53 261120 ----a-w- c:\windows\UN160407.EXE 2009-10-16 17:11 . 1998-11-23 10:53 26768 ----a-w- c:\windows\system\CTL3D.DLL 2009-10-16 09:17 . 2009-10-16 09:17 -------- d-----w- c:\programme\Photo Collage Maker 2009-10-16 08:27 . 2009-10-16 08:28 -------- d-----w- c:\dokumente und einstellungen\Ju714\Lokale Einstellungen\Anwendungsdaten\Google 2009-10-16 08:27 . 2009-10-16 08:27 -------- d-----w- c:\programme\Google 2009-10-16 08:05 . 2009-11-12 17:48 -------- d-----w- c:\programme\PhotoMix . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-13 14:55 . 2007-12-25 08:25 46042334 ----a-w- c:\windows\Internet Logs\tvDebug.zip 2009-11-13 12:35 . 2007-09-29 20:11 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\Hamachi 2009-11-13 10:14 . 2009-11-13 12:12 3593216 ----a-w- c:\windows\Internet Logs\xDB24.tmp 2009-11-13 10:12 . 2007-10-23 08:37 -------- d-----w- c:\dokumente und einstellungen\Natalie\Anwendungsdaten\OpenOffice.org2 2009-11-12 19:24 . 2007-09-24 18:21 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\OpenOffice.org2 2009-11-12 19:24 . 2007-09-24 18:22 1 ----a-w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys 2009-11-12 17:01 . 2007-10-23 08:33 -------- d-----w- c:\dokumente und einstellungen\Oleg\Anwendungsdaten\OpenOffice.org2 2009-11-12 13:04 . 2008-01-04 16:23 168864 ----a-w- c:\dokumente und einstellungen\Oleg\Anwendungsdaten\Mozilla\Firefox\Profiles\q75h8y4u.default\FlashGot.exe 2009-11-11 22:38 . 2009-11-11 22:41 3550720 ----a-w- c:\windows\Internet Logs\xDB23.tmp 2009-10-25 19:02 . 2009-10-25 19:04 3428352 ----a-w- c:\windows\Internet Logs\xDB22.tmp 2009-10-25 07:04 . 2001-08-18 19:00 78558 ----a-w- c:\windows\system32\perfc007.dat 2009-10-25 07:04 . 2001-08-18 19:00 443100 ----a-w- c:\windows\system32\perfh007.dat 2009-10-23 21:39 . 2007-09-25 14:25 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\gtk-2.0 2009-10-14 18:41 . 2007-12-28 21:08 4212 ---h--w- c:\windows\system32\zllictbl.dat 2009-10-13 23:59 . 2009-10-13 23:59 2146304 ----a-w- c:\windows\system32\GPhotos.scr 2009-10-10 08:51 . 2009-10-10 08:51 -------- d-----w- c:\programme\Paint.NET 2009-09-27 13:40 . 2009-09-27 14:04 3432960 ----a-w- c:\windows\Internet Logs\xDB21.tmp 2009-09-24 22:39 . 2009-09-25 05:22 3126272 ----a-w- c:\windows\Internet Logs\xDB20.tmp 2009-09-11 16:07 . 2009-09-11 16:29 3204608 ----a-w- c:\windows\Internet Logs\xDB1F.tmp 2009-09-11 16:07 . 2009-09-11 16:29 4443648 ----a-w- c:\windows\Internet Logs\xDB1E.tmp 2009-09-10 13:54 . 2009-01-02 10:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-09-10 13:53 . 2009-01-02 10:27 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-09-01 10:20 . 2009-09-01 10:57 3169792 ----a-w- c:\windows\Internet Logs\xDB1D.tmp 2009-08-28 15:44 . 2009-08-28 15:45 3163648 ----a-w- c:\windows\Internet Logs\xDB1C.tmp 2009-08-28 15:44 . 2009-08-28 15:45 3142144 ----a-w- c:\windows\Internet Logs\xDB1B.tmp 2009-08-28 15:39 . 2008-05-09 08:38 169936 ----a-w- c:\dokumente und einstellungen\Walde\Anwendungsdaten\Mozilla\Firefox\Profiles\188hjps5.default\FlashGot.exe 2009-08-28 15:38 . 2009-03-21 15:06 130935 ----a-w- c:\windows\War3Unin.dat 2009-08-25 16:24 . 2009-08-25 16:25 3154944 ----a-w- c:\windows\Internet Logs\xDB1A.tmp 2006-05-03 09:06 . 2007-12-28 15:36 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 10:47 . 2007-12-28 15:36 31232 --sh--r- c:\windows\system32\msfDX.dll . ------- Sigcheck ------- [7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\atapi.sys [-] 2004-08-03 21:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys [-] 2002-08-28 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\$NtServicePackUninstall$\atapi.sys [-] 2002-08-28 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys [-] 2002-08-28 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys [7] 2004-08-03 . 80F7B7198B869C07C98627AF812D68B6 . 1548288 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\sfcfiles.dll [-] 2002-08-29 . E8728E3C12F7870BC74224201A830F70 . 1145856 . . [5.1.2600.1106] . . c:\windows\$NtServicePackUninstall$\sfcfiles.dll c:\windows\system32\sfcfiles.dll ... Fehlt !! . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "Launch LGDCore"="c:\programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 1126400] "Diamondback"="c:\programme\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 147456] "ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-03 61440] " Malwarebytes Anti-Malware (reboot)"="c:\walde-prog\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\Natalie\Startmen\Programme\Autostart\ OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216] c:\dokumente und einstellungen\Oleg\Startmen\Programme\Autostart\ OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk * [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk backup=c:\windows\pss\BTTray.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Color Calibration.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Color Calibration.lnk backup=c:\windows\pss\Color Calibration.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^E-Color.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\E-Color.lnk backup=c:\windows\pss\E-Color.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MagicTune 3.6.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\MagicTune 3.6.lnk backup=c:\windows\pss\MagicTune 3.6.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Ju714^Startmenü^Programme^Autostart^Xfire.lnk] path=c:\dokumente und einstellungen\Ju714\Startmenü\Programme\Autostart\Xfire.lnk backup=c:\windows\pss\Xfire.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Walde^Startmenü^Programme^Autostart^FRITZ!DSL Startcenter.lnk] path=c:\dokumente und einstellungen\Walde\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk backup=c:\windows\pss\FRITZ!DSL Startcenter.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Walde^Startmenü^Programme^Autostart^Need for Speed™ Undercover-Registrierung.lnk] path=c:\dokumente und einstellungen\Walde\Startmenü\Programme\Autostart\Need for Speed™ Undercover-Registrierung.lnk backup=c:\windows\pss\Need for Speed™ Undercover-Registrierung.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "SandraTheSrv"=3 (0x3) "SandraDataSrv"=3 (0x3) "wuauserv"=2 (0x2) "uploadmgr"=2 (0x2) "TapiSrv"=3 (0x3) "StyleXPService"=2 (0x2) "ERSvc"=2 (0x2) "CPUCooLServer"=2 (0x2) "PnkBstrB"=2 (0x2) "PnkBstrA"=2 (0x2) "TuneUp.Defrag"=3 (0x3) "de_serv"=3 (0x3) "LckFldService"=2 (0x2) "rpcapd"=3 (0x3) "AntiVirService"=2 (0x2) "PD91Engine"=3 (0x3) "PD91Agent"=2 (0x2) "idsvc"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "BearShare"="c:\walde-prog\BearShare\BearShare.exe" /pause [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Downloads\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"= "c:\\walde-prog\\Skype\\Phone\\Skype.exe"= R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [09.03.2008 17:02 22360] R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [09.03.2008 17:02 45400] R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [07.09.2007 15:54 2368] R3 Razerlow;Diamondback 3G USB Filter Driver;c:\windows\system32\drivers\DB3G.sys [21.08.2008 17:22 13225] S3 Fadpu16E;Fadpu16E;\??\c:\dokume~1\Walde\LOKALE~1\Temp\Fadpu16E.sys --> c:\dokume~1\Walde\LOKALE~1\Temp\Fadpu16E.sys [?] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [13.02.2008 13:49 13352] S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [02.08.2005 22:10 32512] S3 PsSdk30;PsSdk30;\??\c:\windows\System32\Drivers\PsSdk30.drv --> c:\windows\System32\Drivers\PsSdk30.drv [?] S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [13.02.2008 13:49 83208] S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [13.02.2008 13:49 15112] S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [13.02.2008 13:49 108680] S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [13.02.2008 13:49 100488] S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [13.02.2008 13:49 98568] S4 PD91Agent;PD91Agent;c:\walde-prog\Raxco\PerfectDisk2008\PD91Agent.exe [16.01.2008 10:52 664840] S4 PD91Engine;PD91Engine;c:\walde-prog\Raxco\PerfectDisk2008\PD91Engine.exe [16.01.2008 10:52 894216] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - MBR *Deregistered* - mbr HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-11-13 c:\windows\Tasks\1-Klick-Wartung.job - c:\walde-prog\TuneUp\OneClickStarter.exe [2008-02-18 03:36] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uDefault_Search_URL = hxxp://www.google.com/ie mStart Page = hxxp://de.yahoo.com uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: &D&ownload &with BitComet - c:\programme\BitComet\BitComet.exe/AddLink.htm IE: &D&ownload all video with BitComet - c:\programme\BitComet\BitComet.exe/AddVideo.htm IE: &D&ownload all with BitComet - c:\programme\BitComet\BitComet.exe/AddAllLink.htm IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\Ju714\Anwendungsdaten\Mozilla\Firefox\Profiles\mudrr8j5.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - google.de FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll FF - plugin: c:\walde-prog\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF - plugin: c:\walde-prog\DivX\DivX Content Uploader\npUpload.dll FF - plugin: c:\walde-prog\DivX\DivX Web Player\npdivx32.dll FF - plugin: c:\walde-prog\VLC\npvlc.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover Rootkit scan 2009-11-13 17:47 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A30F008]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x8a30f008 Warning: possible MBR rootkit infection ! user & kernel MBR OK Use "Recovery Console" command "fixmbr" to clear infection ! ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet004\Services\PsSdk30] "ImagePath"="\??\c:\windows\System32\Drivers\PsSdk30.drv" . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-839522115-963894560-2147040963-1005\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(812) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(4040) c:\windows\system32\WPDShServiceObj.dll c:\windows\System32\BTNCopy.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\FRITZ!DSL\IGDCTRL.EXE c:\windows\system32\wscntfy.exe c:\windows\system32\devldr32.exe c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe c:\programme\Razer\Diamondback 3G\razertra.exe c:\programme\Razer\Diamondback 3G\razerofa.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-11-13 17:53 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-11-13 16:53 Vor Suchlauf: 26 Verzeichnis(se), 214.258.884.608 Bytes frei Nach Suchlauf: 28 Verzeichnis(se), 214.097.842.176 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn - - End Of File - - DD24BCF9A4F74CE023292CC19E9CF405 |
13.11.2009, 18:24 | #9 |
/// Winkelfunktion /// TB-Süch-Tiger™ | RUNDLL:Fehler beim Laden von dkgf.ffo Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!) Code:
ATTFilter KILLALL:: Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet004\Services\PsSdk30] FCopy:: c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\system32\drivers\atapi.sys Folder:: c:\windows\Internet Logs c:\programme\BitComet c:\dokumente und einstellungen\Ju714\Anwendungsdaten\U3 c:\walde-prog\BearShare File:: c:\windows\System32\Drivers\PsSdk30.drv c:\windows\UN160407.EXE c:\windows\system\CTL3D.DLL C:\shutdown-a.exe Rootkit:: c:\windows\System32\Drivers\PsSdk30.drv 4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. 6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
13.11.2009, 19:43 | #10 |
| RUNDLL:Fehler beim Laden von dkgf.ffo Hier die neue Log Datei: ComboFix 09-11-13.06 - Ju714 13.11.2009 19:02.2.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2046.1635 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Ju714\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Ju714\Desktop\CFScript.txt FW: ZoneAlarm Pro Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} FILE :: "C:\shutdown-a.exe" "c:\windows\system\CTL3D.DLL" "c:\windows\System32\Drivers\PsSdk30.drv" "c:\windows\UN160407.EXE" . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\Ju714\Anwendungsdaten\U3 c:\dokumente und einstellungen\Ju714\Anwendungsdaten\U3\temp\cleanup.exe C:\shutdown-a.exe c:\walde-prog\BearShare c:\walde-prog\BearShare\ArmAccess.dll c:\walde-prog\BearShare\BearShare.dat c:\walde-prog\BearShare\BearShare.exe c:\walde-prog\BearShare\BSidle.dll c:\walde-prog\BearShare\db\config.bin c:\walde-prog\BearShare\db\connect.txt c:\walde-prog\BearShare\db\gwebcache.dat c:\walde-prog\BearShare\db\Hostiles-Chat.txt c:\walde-prog\BearShare\db\Hostiles.txt c:\walde-prog\BearShare\db\library.2.db c:\walde-prog\BearShare\db\library.2.db.lastgoodload.bak c:\walde-prog\BearShare\db\library.db c:\walde-prog\BearShare\db\library.db.lastgoodload.bak c:\walde-prog\BearShare\db\library.db.sync c:\walde-prog\BearShare\db\searches.ini c:\walde-prog\BearShare\FreePeers.ini c:\walde-prog\BearShare\History.txt c:\walde-prog\BearShare\INSTALL.LOG c:\walde-prog\BearShare\Installer\BSProInstall5.2.5.1.exe c:\walde-prog\BearShare\license.lic c:\walde-prog\BearShare\Logs\console.txt c:\walde-prog\BearShare\Logs\hosts-state.txt c:\walde-prog\BearShare\Logs\memory.txt c:\walde-prog\BearShare\Logs\ordinal.txt c:\walde-prog\BearShare\Logs\streams.txt c:\walde-prog\BearShare\sounds\notify.wav c:\walde-prog\BearShare\Temp\TMPT.I. - TI VS TIP - Tell Em I Said That.dat c:\walde-prog\BearShare\Temp\TMPT.I. - TI VS TIP - Tell Em I Said That.mp3 c:\walde-prog\BearShare\Temp\TMPThe Predator 2007 Stormy Daniels,Jenna Haze,Jenaveve Jolie,Dee,Alektra Blue,Tory Lane,Trina Michaels,Justine Joli,Leah Luv,Sammi Rhodes,Melissa Lauren.avi c:\walde-prog\BearShare\Temp\TMPThe Predator 2007 Stormy Daniels,Jenna Haze,Jenaveve Jolie,Dee,Alektra Blue,Tory Lane,Trina Michaels,Justine Joli,Leah Luv,Sammi Rhodes,Melissa Lauren.dat c:\walde-prog\BearShare\Temp\TMPThe Predator 2007 Stormy Daniels,Jenna Haze,Jenaveve Jolie,Dee,Alektra Blue,Tory Lane,Trina Michaels,Justine Joli,Leah Luv,Sammi Rhodes,Melissa Lauren.tiger c:\walde-prog\BearShare\UNWISE.EXE c:\walde-prog\BearShare\Webstats.bat c:\walde-prog\BearShare\Webstats.exe c:\walde-prog\BearShare\Webstats.ini c:\windows\Internet Logs\BACKUP.RDB c:\windows\Internet Logs\dumpIndex c:\windows\Internet Logs\ErrorLog.txt c:\windows\Internet Logs\fwdbglog.txt c:\windows\Internet Logs\installer_022109165129.log c:\windows\Internet Logs\installer_022409131317.log c:\windows\Internet Logs\installer_062509160505.log c:\windows\Internet Logs\installer_121708162028.log c:\windows\Internet Logs\tvDebug.zip c:\windows\Internet Logs\vsmon_2nd_2008_12_17_14_31_03_small.dmp.zip c:\windows\Internet Logs\vsmon_2nd_2008_12_17_14_47_53_small.dmp.zip c:\windows\Internet Logs\xDB1.tmp c:\windows\Internet Logs\xDB10.tmp c:\windows\Internet Logs\xDB11.tmp c:\windows\Internet Logs\xDB12.tmp c:\windows\Internet Logs\xDB13.tmp c:\windows\Internet Logs\xDB14.tmp c:\windows\Internet Logs\xDB15.tmp c:\windows\Internet Logs\xDB16.tmp c:\windows\Internet Logs\xDB17.tmp c:\windows\Internet Logs\xDB18.tmp c:\windows\Internet Logs\xDB19.tmp c:\windows\Internet Logs\xDB1A.tmp c:\windows\Internet Logs\xDB1B.tmp c:\windows\Internet Logs\xDB1C.tmp c:\windows\Internet Logs\xDB1D.tmp c:\windows\Internet Logs\xDB1E.tmp c:\windows\Internet Logs\xDB1F.tmp c:\windows\Internet Logs\xDB2.tmp c:\windows\Internet Logs\xDB20.tmp c:\windows\Internet Logs\xDB21.tmp c:\windows\Internet Logs\xDB22.tmp c:\windows\Internet Logs\xDB23.tmp c:\windows\Internet Logs\xDB24.tmp c:\windows\Internet Logs\xDB3.tmp c:\windows\Internet Logs\xDB4.tmp c:\windows\Internet Logs\xDB5.tmp c:\windows\Internet Logs\xDB6.tmp c:\windows\Internet Logs\xDB7.tmp c:\windows\Internet Logs\xDB8.tmp c:\windows\Internet Logs\xDB9.tmp c:\windows\Internet Logs\xDBA.tmp c:\windows\Internet Logs\xDBB.tmp c:\windows\Internet Logs\xDBC.tmp c:\windows\Internet Logs\xDBD.tmp c:\windows\Internet Logs\xDBE.tmp c:\windows\Internet Logs\xDBF.tmp c:\windows\Internet Logs\ZALog.txt c:\windows\Internet Logs\ZL_CM_Log.txt c:\windows\Internet Logs\zlclient_2nd_2008_12_17_14_18_55_small.dmp.zip c:\windows\Internet Logs\zlclient_2nd_2008_12_17_14_30_56_small.dmp.zip c:\windows\Internet Logs\zlclient_2nd_2008_12_17_14_47_44_small.dmp.zip c:\windows\Internet Logs\zlclient_2nd_2008_12_19_14_56_36_small.dmp.zip c:\windows\Internet Logs\zlclient_2nd_2008_12_19_14_56_38_small.dmp.zip c:\windows\Internet Logs\zlclient_2nd_2009_02_13_19_28_51_small.dmp.zip c:\windows\Internet Logs\zlclient_2nd_2009_02_13_19_28_52_small.dmp.zip c:\windows\system\CTL3D.DLL c:\windows\system32\mssfc.dll c:\windows\UN160407.EXE c:\windows\Internet Logs . . . . Nicht in der Lage zu löschen c:\windows\Internet Logs\fwpktlog.txt . . . . Nicht in der Lage zu löschen c:\windows\Internet Logs\HAAS.ldb . . . . Nicht in der Lage zu löschen c:\windows\Internet Logs\IAMDB.RDB . . . . Nicht in der Lage zu löschen c:\windows\Internet Logs\tvDebug.log . . . . Nicht in der Lage zu löschen Infizierte Kopie von c:\windows\system32\drivers\atapi.sys wurde gefunden und desinfiziert Kopie von - Kitty ate it wurde wiederhergestellt . --------------- FCopy --------------- c:\windows\ServicePackFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_PsSdk30 -------\Service_PsSdk30 ((((((((((((((((((((((( Dateien erstellt von 2009-10-13 bis 2009-11-13 )))))))))))))))))))))))))))))) . 2009-11-13 14:51 . 2009-11-13 14:57 -------- d-----w- C:\rsit 2009-11-13 13:05 . 2009-11-13 13:05 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\Malwarebytes 2009-11-13 12:15 . 2009-11-13 12:19 -------- d-----w- C:\Lop SD 2009-11-12 17:20 . 2009-11-12 17:20 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\Lavasoft 2009-11-12 16:38 . 2009-11-12 16:38 -------- d-----w- c:\programme\Trend Micro 2009-11-12 12:42 . 2009-11-12 12:42 -------- d-----w- c:\dokumente und einstellungen\Natalie\Anwendungsdaten\U3 2009-11-12 12:30 . 2007-10-23 08:27 110592 ----a-w- c:\dokumente und einstellungen\Oleg\Anwendungsdaten\U3\temp\cleanup.exe 2009-11-12 12:29 . 2009-11-12 12:30 -------- d-----w- c:\dokumente und einstellungen\Oleg\Anwendungsdaten\U3 2009-11-01 15:56 . 2009-11-01 15:56 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\TuneUp Software 2009-10-30 20:20 . 2009-10-30 20:20 -------- d--h--w- c:\windows\PIF 2009-10-16 09:17 . 2009-10-16 09:17 -------- d-----w- c:\programme\Photo Collage Maker 2009-10-16 08:27 . 2009-10-16 08:28 -------- d-----w- c:\dokumente und einstellungen\Ju714\Lokale Einstellungen\Anwendungsdaten\Google 2009-10-16 08:27 . 2009-10-16 08:27 -------- d-----w- c:\programme\Google 2009-10-16 08:05 . 2009-11-12 17:48 -------- d-----w- c:\programme\PhotoMix . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-13 18:27 . 2007-12-28 21:08 4212 ---h--w- c:\windows\system32\zllictbl.dat 2009-11-13 12:35 . 2007-09-29 20:11 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\Hamachi 2009-11-13 10:12 . 2007-10-23 08:37 -------- d-----w- c:\dokumente und einstellungen\Natalie\Anwendungsdaten\OpenOffice.org2 2009-11-12 19:24 . 2007-09-24 18:21 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\OpenOffice.org2 2009-11-12 19:24 . 2007-09-24 18:22 1 ----a-w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys 2009-11-12 17:01 . 2007-10-23 08:33 -------- d-----w- c:\dokumente und einstellungen\Oleg\Anwendungsdaten\OpenOffice.org2 2009-11-12 13:04 . 2008-01-04 16:23 168864 ----a-w- c:\dokumente und einstellungen\Oleg\Anwendungsdaten\Mozilla\Firefox\Profiles\q75h8y4u.default\FlashGot.exe 2009-10-25 07:04 . 2001-08-18 19:00 78558 ----a-w- c:\windows\system32\perfc007.dat 2009-10-25 07:04 . 2001-08-18 19:00 443100 ----a-w- c:\windows\system32\perfh007.dat 2009-10-23 21:39 . 2007-09-25 14:25 -------- d-----w- c:\dokumente und einstellungen\Ju714\Anwendungsdaten\gtk-2.0 2009-10-13 23:59 . 2009-10-13 23:59 2146304 ----a-w- c:\windows\system32\GPhotos.scr 2009-10-10 08:51 . 2009-10-10 08:51 -------- d-----w- c:\programme\Paint.NET 2009-09-10 13:54 . 2009-01-02 10:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-09-10 13:53 . 2009-01-02 10:27 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-08-28 15:39 . 2008-05-09 08:38 169936 ----a-w- c:\dokumente und einstellungen\Walde\Anwendungsdaten\Mozilla\Firefox\Profiles\188hjps5.default\FlashGot.exe 2009-08-28 15:38 . 2009-03-21 15:06 130935 ----a-w- c:\windows\War3Unin.dat 2006-05-03 09:06 . 2007-12-28 15:36 163328 --sh--r- c:\windows\system32\flvDX.dll 2007-02-21 10:47 . 2007-12-28 15:36 31232 --sh--r- c:\windows\system32\msfDX.dll . ------- Sigcheck ------- [7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\atapi.sys [-] 2004-08-03 21:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys [-] 2002-08-28 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\$NtServicePackUninstall$\atapi.sys [-] 2002-08-28 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0007\DriverFiles\i386\atapi.sys [-] 2002-08-28 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys [7] 2004-08-03 . 80F7B7198B869C07C98627AF812D68B6 . 1548288 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\sfcfiles.dll [-] 2002-08-29 . E8728E3C12F7870BC74224201A830F70 . 1145856 . . [5.1.2600.1106] . . c:\windows\$NtServicePackUninstall$\sfcfiles.dll c:\windows\system32\sfcfiles.dll ... Fehlt !! . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497] "Launch LGDCore"="c:\programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" [2006-07-23 1126400] "Diamondback"="c:\programme\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 147456] "ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] "StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-03 61440] " Malwarebytes Anti-Malware (reboot)"="c:\walde-prog\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\Natalie\Startmen\Programme\Autostart\ OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216] c:\dokumente und einstellungen\Oleg\Startmen\Programme\Autostart\ OpenOffice.org 2.3.lnk - c:\programme\OpenOffice.org 2.3\program\quickstart.exe [2007-8-17 393216] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk * [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk backup=c:\windows\pss\BTTray.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Color Calibration.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Color Calibration.lnk backup=c:\windows\pss\Color Calibration.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^E-Color.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\E-Color.lnk backup=c:\windows\pss\E-Color.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MagicTune 3.6.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\MagicTune 3.6.lnk backup=c:\windows\pss\MagicTune 3.6.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Ju714^Startmenü^Programme^Autostart^Xfire.lnk] path=c:\dokumente und einstellungen\Ju714\Startmenü\Programme\Autostart\Xfire.lnk backup=c:\windows\pss\Xfire.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Walde^Startmenü^Programme^Autostart^FRITZ!DSL Startcenter.lnk] path=c:\dokumente und einstellungen\Walde\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk backup=c:\windows\pss\FRITZ!DSL Startcenter.lnkStartup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Walde^Startmenü^Programme^Autostart^Need for Speed™ Undercover-Registrierung.lnk] path=c:\dokumente und einstellungen\Walde\Startmenü\Programme\Autostart\Need for Speed™ Undercover-Registrierung.lnk backup=c:\windows\pss\Need for Speed™ Undercover-Registrierung.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "SandraTheSrv"=3 (0x3) "SandraDataSrv"=3 (0x3) "wuauserv"=2 (0x2) "uploadmgr"=2 (0x2) "TapiSrv"=3 (0x3) "StyleXPService"=2 (0x2) "ERSvc"=2 (0x2) "CPUCooLServer"=2 (0x2) "PnkBstrB"=2 (0x2) "PnkBstrA"=2 (0x2) "TuneUp.Defrag"=3 (0x3) "de_serv"=3 (0x3) "LckFldService"=2 (0x2) "rpcapd"=3 (0x3) "AntiVirService"=2 (0x2) "PD91Engine"=3 (0x3) "PD91Agent"=2 (0x2) "idsvc"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "BearShare"="c:\walde-prog\BearShare\BearShare.exe" /pause [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"= "c:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"= "c:\\Downloads\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"= "c:\\walde-prog\\Skype\\Phone\\Skype.exe"= R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [09.03.2008 17:02 22360] R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [09.03.2008 17:02 45400] R2 SVKP;SVKP;c:\windows\system32\SVKP.sys [07.09.2007 15:54 2368] R3 Razerlow;Diamondback 3G USB Filter Driver;c:\windows\system32\drivers\DB3G.sys [21.08.2008 17:22 13225] S3 Fadpu16E;Fadpu16E;\??\c:\dokume~1\Walde\LOKALE~1\Temp\Fadpu16E.sys --> c:\dokume~1\Walde\LOKALE~1\Temp\Fadpu16E.sys [?] S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [13.02.2008 13:49 13352] S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [02.08.2005 22:10 32512] S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [13.02.2008 13:49 83208] S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [13.02.2008 13:49 15112] S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [13.02.2008 13:49 108680] S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [13.02.2008 13:49 100488] S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [13.02.2008 13:49 98568] S4 PD91Agent;PD91Agent;c:\walde-prog\Raxco\PerfectDisk2008\PD91Agent.exe [16.01.2008 10:52 664840] S4 PD91Engine;PD91Engine;c:\walde-prog\Raxco\PerfectDisk2008\PD91Engine.exe [16.01.2008 10:52 894216] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - mbr HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Inhalt des "geplante Tasks" Ordners 2009-11-13 c:\windows\Tasks\1-Klick-Wartung.job - c:\walde-prog\TuneUp\OneClickStarter.exe [2008-02-18 03:36] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = about:blank uDefault_Search_URL = hxxp://www.google.com/ie mStart Page = hxxp://de.yahoo.com uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: &D&ownload &with BitComet - c:\programme\BitComet\BitComet.exe/AddLink.htm IE: &D&ownload all video with BitComet - c:\programme\BitComet\BitComet.exe/AddVideo.htm IE: &D&ownload all with BitComet - c:\programme\BitComet\BitComet.exe/AddAllLink.htm IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\dokumente und einstellungen\Ju714\Anwendungsdaten\Mozilla\Firefox\Profiles\mudrr8j5.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - google.de FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q= FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll FF - plugin: c:\walde-prog\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF - plugin: c:\walde-prog\DivX\DivX Content Uploader\npUpload.dll FF - plugin: c:\walde-prog\DivX\DivX Web Player\npdivx32.dll FF - plugin: c:\walde-prog\VLC\npvlc.dll . - - - - Entfernte verwaiste Registrierungseinträge - - - - AddRemove-BearShare - c:\walde-~1\BEARSH~1\UNWISE.EXE ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-839522115-963894560-2147040963-1005\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(824) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(2516) c:\windows\system32\WPDShServiceObj.dll c:\windows\System32\BTNCopy.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe c:\programme\FRITZ!DSL\IGDCTRL.EXE c:\windows\system32\wscntfy.exe c:\windows\system32\devldr32.exe c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe c:\programme\Razer\Diamondback 3G\razertra.exe c:\programme\Razer\Diamondback 3G\razerofa.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-11-13 19:37 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-11-13 18:36 ComboFix2.txt 2009-11-13 16:53 Vor Suchlauf: 26 Verzeichnis(se), 214.089.285.632 Bytes frei Nach Suchlauf: 28 Verzeichnis(se), 214.024.417.280 Bytes frei - - End Of File - - 61FC054D0568AF315EF33F4CB7759EF4 |
13.11.2009, 20:29 | #11 |
/// Winkelfunktion /// TB-Süch-Tiger™ | RUNDLL:Fehler beim Laden von dkgf.ffo Wie ist es nun um Deinen Rechner bestellt? Du hattest da ne ziemlich schwerwiegende Infektion, Du solltest auch nach der Combofix-Behandlung möglichst bald über die Neuinstallation denken.
__________________ Logfiles bitte immer in CODE-Tags posten |
14.11.2009, 10:49 | #12 |
| RUNDLL:Fehler beim Laden von dkgf.ffo Bis jetzt hab ich noch nichts ungewöhnliches bemerkt... Was die Neuinstallation angeht: Ich bereite den Pc gerade darauf vor, wird noch eine Weile dauern Der letzte Log war in Ordnung? Wenn ja wie änder ich das Präfix oder machst du das dann? |
14.11.2009, 15:46 | #13 |
/// Winkelfunktion /// TB-Süch-Tiger™ | RUNDLL:Fehler beim Laden von dkgf.ffo Präfix? Wie meinen?
__________________ Logfiles bitte immer in CODE-Tags posten |
14.11.2009, 18:21 | #14 |
| RUNDLL:Fehler beim Laden von dkgf.ffo Na ich mein wenn ich ein neues Thema erstell muss ich doch beom Präfix eingeben ob das Thema offen oder gelöst ist.. ist ja auch egal War der letzte Log in Ordnung? |
16.11.2009, 10:35 | #15 |
/// Winkelfunktion /// TB-Süch-Tiger™ | RUNDLL:Fehler beim Laden von dkgf.ffo Ach das Präfix meintest Du... Nein das können wir lassen. Das Logfile sieht besser aus, aber Du wolltest den Rechner ja eh auf die Neuinstalltion vorbereiten.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu RUNDLL:Fehler beim Laden von dkgf.ffo |
adobe, antivir, avg, avira, bho, desktop, down, dsl, einstellungen, explorer, fehler, fehlermeldung, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, launch, monitor, mozilla, rundll, software, system, userinit.exe, windows, windows xp |