| |
| |||||||
Log-Analyse und Auswertung: explorer.exe startet nicht mehr nach Entfernen von MalwareWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
07.01.2010, 21:45
| #1 |
| |  explorer.exe startet nicht mehr nach Entfernen von Malware Hallo, bin hier gerade mit meinem Latein am Ende. Vorgeschichte: Hatte mir Malware aus irgendeinem Blog eingefangen und in einem schwachen Moment bei Sygate auf Ja geklickt, als sich die verbinden und nachladen wollte. Danach liefen erstmal die ganzen Browser nicht mehr. Dann mal mit avast und Malwarebytes Anti malware ziemlich wahllos alles gelöscht was verdächtig war. Danach mit der Windows CD versucht die kaputten .dlls zu reparieren. Der Rechner läuft jetzt wieder soweit anstandslos. Das Log von HijackThis sieht für mich auch relativ sauber aus, bis auf die sams.exe die ich nicht so recht zu ordnen kann. Weder Avast noch anti Malwarebytes finden noch irgendwelche verdächtigen Prozesse. Neu aufsetzen möchte ich den Rechner wenn möglich nicht. Stand der Dinge: Explorer.exe startet nicht, und alle Tipps aus der Google suche oder von hier (Falsche registry einträge, oder virus mit gleichen Namen) haben mein Problem bisher nicht getroffen. Hier mal das Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 21:31:59, on 07.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\Alwil Software\Avast4\setup\avast.setup C:\WINDOWS\explorer.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Wisterer HX\WistererHX.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Explorer] "C:\Windows\explorer.exe" O4 - HKCU\..\Run: [WistererHX] "C:\Programme\Wisterer HX\WistererHX.exe" /minimize O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O15 - Trusted Zone: http://asia.msi.com.tw O15 - Trusted Zone: http://global.msi.com.tw O15 - Trusted Zone: http://www.msi.com.tw O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206047209018 O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing) O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe (file missing) O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 6994 bytes |
|
10.01.2010, 13:30
| #2 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™   |  explorer.exe startet nicht mehr nach Entfernen von Malware Hallo und
__________________ Zitat:
Zitat:
Mach danach bitte Logfiles mit RSIT und poste sie hier.
__________________ |
|
11.01.2010, 21:40
| #3 | |
| | explorer.exe startet nicht mehr nach Entfernen von MalwareZitat:
Anbei die Log-files Vielen Dank schonmal für deine Hilfe im voraus. Code:
ATTFilter Logfile of random's system information tool 1.06 (written by random/random) Run by Leviathan at 2010-01-11 21:30:07 Microsoft Windows XP Professional Service Pack 3 System drive C: has 13 GB (27%) free of 50 GB Total RAM: 1982 MB (70% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:30:26, on 11.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe C:\Programme\ICQ6Toolbar\ICQ Service.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Wisterer HX\WistererHX.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Leviathan\Eigene Dateien\Downloads\RSIT.exe C:\Programme\trend micro\Leviathan.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [WistererHX] "C:\Programme\Wisterer HX\WistererHX.exe" /minimize O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O15 - Trusted Zone: http://asia.msi.com.tw O15 - Trusted Zone: http://global.msi.com.tw O15 - Trusted Zone: http://www.msi.com.tw O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206047209018 O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Scanning Analist Management System (SAMS) - Unknown owner - C:\WINDOWS\System32\sams.exe (file missing) O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 6630 bytes ======Scheduled tasks folder====== C:\WINDOWS\tasks\AppleSoftwareUpdate.job C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003Core.job C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003UA.job ======Registry dump====== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC59E0F9-7E43-44FA-9FAA-8377850BF205}] FDMIECookiesBHO Class - C:\Programme\Free Download Manager\iefdm2.dll [2007-11-26 94208] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-10-11 41760] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}] JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-10-11 73728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] {855F3B16-6D32-4fe6-8A56-BBB695989046} - ICQToolBar - C:\Programme\ICQ6Toolbar\ICQToolBar.dll [2009-06-01 962808] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "SmcService"=C:\PROGRA~1\Sygate\SPF\smc.exe [2005-09-27 2635472] "Cm106Sound"=RunDll32 cm106.cpl,CMICtrlWnd [] "QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-01-10 385024] "SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2006-11-17 577536] "avast!"=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [2009-11-25 81000] ""= [] "SunJavaUpdateSched"=C:\Programme\Java\jre6\bin\jusched.exe [2009-10-11 149280] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "WistererHX"=C:\Programme\Wisterer HX\WistererHX.exe [2008-01-05 2646016] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360] "ICQ"=C:\Programme\ICQ6\ICQ.exe silent [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent] C:\WINDOWS\system32\Ati2evxx.dll [2008-01-10 122880] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C:\WINDOWS\system32\WgaLogon.dll [2007-04-10 236928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "dontdisplaylastusername"=0 "legalnoticecaption"= "legalnoticetext"= "shutdownwithoutlogon"=1 "undockwithoutlogon"=1 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer] "NoDriveTypeAutoRun"=145 "NoDrives"=0 "NoViewOnDrive"=0 "NoLogoff"=0 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\Programme\ICQ6\ICQ.exe"="C:\Programme\ICQ6\ICQ.exe:*:Enabled:ICQ6" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes" "C:\Programme\Skype\Plugin Manager\skypePM.exe"="C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager" "C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype" "C:\Programme\ICQ6.5\ICQ.exe"="C:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" ======List of files/folders created in the last 1 months====== 2010-01-11 21:30:07 ----D---- C:\rsit 2010-01-11 21:30:07 ----D---- C:\Programme\trend micro 2010-01-06 10:46:51 ----D---- C:\Programme\ICQ6Toolbar 2010-01-06 10:46:35 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ 2010-01-06 09:39:15 ----D---- C:\Programme\ICQ6.5 2010-01-05 16:19:20 ----D---- C:\WINDOWS\system32\NtmsData 2010-01-05 15:55:02 ----D---- C:\WINDOWS\system32\appmgmt 2010-01-05 15:54:59 ----SHD---- C:\Config.Msi 2010-01-05 15:36:59 ----D---- C:\Programme\TrendMicro 2010-01-05 11:55:38 ----D---- C:\Programme\Winamp Detect 2010-01-04 23:57:37 ----D---- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\HpUpdate 2010-01-04 23:57:31 ----D---- C:\WINDOWS\Hewlett-Packard ======List of files/folders modified in the last 1 months====== 2010-01-11 21:30:07 ----RD---- C:\Programme 2010-01-11 21:30:05 ----D---- C:\WINDOWS\Prefetch 2010-01-11 21:29:15 ----D---- C:\WINDOWS\Temp 2010-01-11 15:34:48 ----A---- C:\WINDOWS\SchedLgU.Txt 2010-01-11 06:37:06 ----D---- C:\Programme\Wisterer HX 2010-01-06 18:26:55 ----D---- C:\Programme\Mozilla Firefox 2010-01-06 13:35:06 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\ICQ 2010-01-06 09:40:18 ----D---- C:\Programme\ICQ6 2010-01-05 16:37:09 ----D---- C:\WINDOWS\system32\CatRoot2 2010-01-05 16:19:45 ----D---- C:\WINDOWS\system32 2010-01-05 16:19:45 ----D---- C:\WINDOWS 2010-01-05 16:19:43 ----HD---- C:\WINDOWS\inf 2010-01-05 16:19:19 ----D---- C:\WINDOWS\twain_32 2010-01-05 16:19:07 ----SHD---- C:\WINDOWS\Installer 2010-01-05 16:17:39 ----SD---- C:\WINDOWS\Tasks 2010-01-05 15:18:10 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\Skype 2010-01-05 14:55:22 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\Winamp 2010-01-05 14:55:05 ----D---- C:\Programme\Java 2010-01-05 13:10:07 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\skypePM 2010-01-05 11:59:27 ----D---- C:\Programme\Last.fm 2010-01-05 11:56:08 ----D---- C:\Programme\Winamp 2010-01-05 09:34:15 ----RASH---- C:\boot.ini 2010-01-05 09:34:15 ----A---- C:\WINDOWS\win.ini 2010-01-05 09:34:15 ----A---- C:\WINDOWS\system.ini 2010-01-04 23:57:42 ----D---- C:\Programme\Hewlett-Packard 2010-01-04 23:52:05 ----D---- C:\WINDOWS\pss 2010-01-04 17:20:29 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\OpenOffice.org2 2009-12-12 22:55:21 ----D---- C:\Dokumente und Einstellungen\Leviathan\Anwendungsdaten\gtk-2.0 ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R1 Aavmker4;avast! Asynchronous Virus Monitor; C:\WINDOWS\system32\drivers\Aavmker4.sys [2009-11-25 27408] R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-07-01 43520] R1 aswSP;avast! Self Protection; C:\WINDOWS\system32\drivers\aswSP.sys [2009-09-15 114768] R1 aswTdi;avast! Network Shield Support; C:\WINDOWS\system32\drivers\aswTdi.sys [2009-11-25 48560] R1 ssmdrv;ssmdrv; C:\WINDOWS\System32\DRIVERS\ssmdrv.sys [2008-04-18 21248] R1 wpsdrvnt;wpsdrvnt; \??\C:\WINDOWS\System32\drivers\wpsdrvnt.sys [] R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2009-09-15 20560] R2 aswMon2;avast! Standard Shield Support; C:\WINDOWS\system32\drivers\aswMon2.sys [2009-09-15 94160] R2 wg3n;SyGate for NT, wg3n; C:\WINDOWS\SYSTEM32\Drivers\wg3n.sys [2005-09-27 14944] R2 wg4n;SyGate for NT, wg4n; C:\WINDOWS\SYSTEM32\Drivers\wg4n.sys [2005-09-27 14944] R2 wg5n;SyGate for NT, wg5n; C:\WINDOWS\SYSTEM32\Drivers\wg5n.sys [2005-09-27 14944] R2 wg6n;SyGate for NT, wg6n; C:\WINDOWS\SYSTEM32\Drivers\wg6n.sys [2005-09-27 14944] R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2007-03-08 4027840] R3 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2009-11-25 23120] R3 ati2mtag;ati2mtag; C:\WINDOWS\System32\DRIVERS\ati2mtag.sys [2008-01-10 2846720] R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2006-09-19 15664] R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\drivers\hidusb.sys [2008-04-13 10368] R3 PdiPorts;Portrait Displays low level device driver; C:\WINDOWS\System32\Drivers\PdiPorts.sys [2006-11-16 15920] R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2007-07-12 96384] R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-13 30208] R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-13 59520] R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-13 17152] R3 usbstor;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] S1 AmdPPM;AMD HwPState Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdPPM.sys [2007-04-16 33792] S1 fio32;fio32; \??\C:\WINDOWS\system32\drivers\fio32.sys [] S1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\System32\DRIVERS\kbdhid.sys [2008-04-14 14720] S3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-13 60800] S3 Cardex;Cardex; \??\C:\WINDOWS\system32\drivers\TBPANEL.SYS [] S3 DVBLLC;DVB LLC Service; C:\WINDOWS\System32\Drivers\DVBLLC32.sys [2007-05-21 69504] S3 FLASHSYS;FLASHSYS; \??\C:\Programme\MSI\Live Update 4\LU4\FLASHSYS.sys [] S3 HabuFltr;Habu Mouse; C:\WINDOWS\system32\drivers\habu.sys [2006-10-23 27776] S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2003-03-09 51024] S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2003-03-09 16080] S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2003-03-09 21456] S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288] S3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-13 61824] S3 PCASp50;PCASp50 NDIS Protocol Driver; C:\WINDOWS\System32\Drivers\PCASp50.sys [2004-10-25 17664] S3 pdiddcci;DDC/CI monitor; C:\WINDOWS\System32\DRIVERS\pdiddcci.sys [2006-11-16 11776] S3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\System32\DRIVERS\RTL8139.SYS [2004-08-03 20992] S3 TVICHW32;TVICHW32; \??\C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS [] S3 usbaudio;USB-Audiotreiber (WDM); C:\WINDOWS\system32\drivers\usbaudio.sys [2008-04-13 60032] S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2008-04-13 32128] S3 USBMULCD;USB Multi-Channel Audio Device Interface; C:\WINDOWS\system32\drivers\CM106.sys [2007-07-20 1313792] S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856] S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104] S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568] S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944] S3 XUIF;X10 USB Wireless Transceiver; C:\WINDOWS\System32\Drivers\x10ufx2.sys [2005-05-19 17792] S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys [] S4 sr;Filtertreiber für Systemwiederherstellung; C:\WINDOWS\System32\DRIVERS\sr.sys [2008-04-14 73472] S4 vsdatant;vsdatant; C:\WINDOWS\system32\drivers\vsdatant.sys [] ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)====== R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-01-15 110592] R2 aswUpdSv;avast! iAVS4 Control Service; C:\Programme\Alwil Software\Avast4\aswUpdSv.exe [2009-11-25 18752] R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2008-01-10 512000] R2 avast! Antivirus;avast! Antivirus; C:\Programme\Alwil Software\Avast4\ashServ.exe [2009-11-25 138680] R2 DTSRVC;Portrait Displays Display Tune Service; C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe [2007-02-01 73728] R2 ICQ Service;ICQ Service; C:\Programme\ICQ6Toolbar\ICQ Service.exe [2009-06-01 222968] R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-10-11 153376] R2 PnkBstrA;PnkBstrA; C:\WINDOWS\system32\PnkBstrA.exe [2008-04-09 66872] R2 SmcService;Sygate Personal Firewall Pro; C:\Programme\Sygate\SPF\smc.exe [2005-09-27 2635472] R3 avast! Mail Scanner;avast! Mail Scanner; C:\Programme\Alwil Software\Avast4\ashMaiSv.exe [2009-11-25 254040] R3 avast! Web Scanner;avast! Web Scanner; C:\Programme\Alwil Software\Avast4\ashWebSv.exe [2009-11-25 352920] S2 fioo32;fioo32; C:\WINDOWS\sYSteM32\SvchOst.eXE [2008-04-14 14336] S2 SAMS;Scanning Analist Management System; C:\WINDOWS\System32\sams.exe [] S3 aspnet_state;ASP.NET-Zustandsdienst; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-10-24 33800] S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-10-24 70144] S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; c:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2007-10-09 36864] S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632] S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2007-10-11 864256] S3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-01-15 504104] S3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2003-03-09 65795] S3 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\System32\wdfmgr.exe [2005-01-28 38912] S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576] S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336] S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2007-10-11 122880] -----------------EOF----------------- Code:
ATTFilter info.txt logfile of random's system information tool 1.06 2010-01-11 21:30:27
======Uninstall list======
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.4 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81300000003}
Adobe Shockwave Player 11-->C:\WINDOWS\system32\adobe\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Adobe\SHOCKW~1\Install.log
Apple Mobile Device Support-->MsiExec.exe /I{D8AB8F0C-CEEB-4A29-8EF5-219B064813F4}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
ATI - Dienstprogramm zur Deinstallation der Software-->C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI AVIVO Codecs-->MsiExec.exe /I{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x574f
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Parental Control & Encoder-->MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
avast! Antivirus-->C:\Programme\Alwil Software\Avast4\aswRunDll.exe "C:\Programme\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
Counter-Strike: Source-->"C:\Programme\Steam\steam.exe" steam://uninstall/240
EA Download Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{EF7E931D-DC84-471B-8DB6-A83358095474} /l1031
ElsterFormular 2008/2009-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}\setup.exe" -l0x7 -removeonly
EVEREST Home Edition v2.20-->C:\Programme\EVEREST\unins000.exe
forteManager-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{1883A84D-94AA-432C-9519-FA31B6B118B9}\setup.exe" -l0x7 -removeonly
Free Download Manager 2.5-->"C:\Programme\Free Download Manager\unins000.exe"
FrostWire-->C:\Programme\FrostWire\Uninstall.exe
getPlus(R)_dll-->rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\inf\GETPLUSd.INF, DefaultUninstall
GIMP 2.6.6-->"C:\Programme\GIMP-2.0\setup\unins000.exe"
GlobeDigital-->C:\Programme\InstallShield Installation Information\{56F150D4-EA0F-415A-8F08-A4F17B782BCC}\setup.exe -runfromtemp -l0x0407
Half-Life 2: Episode One-->"C:\Programme\Steam\steam.exe" steam://uninstall/380
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
HiJackThis-->MsiExec.exe /X{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}
Hotfix for Microsoft .NET Framework 3.0 (KB932471)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {ECD292A0-0347-4244-8C24-5DBCE990FB40} /package {BAF78226-3200-4DB4-BE33-4D922A799840}
HP Deskjet 3740-->msiexec /x{F901CA6D-A074-42D3-A11D-33AAE6FFD0C1}
HP Update-->MsiExec.exe /X{818ABC3C-635C-4651-8183-D0E9640B7DD1}
ICQ Toolbar-->C:\Programme\ICQ6Toolbar\ICQUnToolbar.exe
ICQ6.5-->"C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe" -runfromtemp -l0x0009 -removeonly
iTunes-->MsiExec.exe /I{B85C4D19-6CEB-48CF-BD98-C887AC8C6F94}
J2SE Runtime Environment 5.0 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
Java(TM) 6 Update 17-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF}
Java(TM) 6 Update 5-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Last.fm 1.5.4.24567-->"C:\Programme\Last.fm\unins000.exe"
Liveupdate4-->"C:\Programme\MSI\Live Update 4\unins000.exe"
Malwarebytes' Anti-Malware-->"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0 Language Pack - DEU-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0 Language Pack - DEU\install.exe
Microsoft .NET Framework 2.0 Service Pack 1-->MsiExec.exe /I{B508B3F1-A24A-32C0-B310-85786919EF28}
Microsoft .NET Framework 3.0 German Language Pack-->c:\WINDOWS\Microsoft.NET\Framework\v3.0\Microsoft .NET Framework 3.0 German Language Pack\setup.exe
Microsoft .NET Framework 3.0 German Language Pack-->MsiExec.exe /X{F2A7F421-1679-48D5-B918-96999014ED53}
Microsoft .NET Framework 3.0 Service Pack 1-->MsiExec.exe /I{2BA00471-0328-3743-93BD-FA813353A783}
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (3.5.7)-->C:\Programme\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.14)-->C:\Programme\Mozilla Thunderbird\uninstall\helper.exe
MSI DigiCell-->MsiExec.exe /I{B15F6758-D185-4377-9F3A-7B30B03E9A97}
MSI Live Update 3-->C:\WINDOWS\IsUninst.exe -f"C:\Programme\MSI\Live Update 3\Uninst.isu"
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
OpenOffice.org 2.4-->MsiExec.exe /I{1B14B0C3-2D60-477C-A1FE-B88E60948854}
Portal-->"C:\Programme\Steam\steam.exe" steam://uninstall/400
QuickTime-->MsiExec.exe /I{6EC874C2-F950-4B7E-A5B7-B1066D6B74AA}
RagnarokOnline-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{27A295AF-334B-495E-9E54-71B77500ED70}\setup.exe" -l0x9 -removeonly
rayman2-->C:\WINDOWS\UbiSoft\SetupUbi.exe -uninstall rayman2
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7 -removeonly
Red Orchestra-->"C:\Programme\Steam\steam.exe" steam://uninstall/1200
RedOrchestra SDK Beta-->"C:\Programme\Steam\steam.exe" steam://uninstall/1220
SDK-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0DEA342C-15CB-4F52-97B6-06A9C4B9C06F}\setup.exe" -l0x9
Sicherheitsupdate für Windows XP (KB913433)-->C:\WINDOWS\System32\MacroMed\Flash\genuinst.exe C:\WINDOWS\System32\MacroMed\Flash\KB913433.inf
Skype web features-->MsiExec.exe /I{541DEAC0-5F3D-45E6-B7CB-94ECF3B96748}
Skype™ 4.1-->MsiExec.exe /X{D103C4BA-F905-437A-8049-DB24763BBE36}
SoulSeek Client 156c-->"C:\Programme\Soulseek\uninstall.exe"
SPEED-LINK Medusa 5.1 USB-->C:\WINDOWS\System32\Cmeau106.exe /rm /pusb106
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Sygate Personal Firewall Pro-->MsiExec.exe /I{10B446B3-4DF4-4489-A168-8A98F7CD807E}
Team Fortress 2-->"C:\Programme\Steam\steam.exe" steam://uninstall/440
TeamSpeak 2 RC2-->C:\Programme\Teamspeak2_RC2\unins000.exe
TVgenial [v3.40]-->C:\Programme\TVgenial\uninstall.exe
TweakXP Tweaking Utility-->C:\Programme\TweakXP\unins000.exe
Vanguard: Saga of Heroes-->C:\Programme\InstallShield Installation Information\{D0B3166F-BBE3-4025-B822-84A4D3D8608E}\ISSetup.exe -runfromtemp -l0x0009 -removeonly
VideoLAN VLC media player 0.8.6f-->C:\Programme\VideoLAN\VLC\uninstall.exe
Winamp-->"C:\Programme\Winamp\UninstWA.exe"
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Format Runtime-->"C:\Programme\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Player 11-->"C:\Programme\Windows Media Player\Setup_wm.exe" /Uninstall
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}
Windows Presentation Foundation Language Pack (DEU)-->MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Presentation Foundation-->MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Workflow Foundation DE Language Pack-->MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}
Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /d /u C:\WINDOWS\system32\DRVSTORE\amdk8_C710CEED791003E4D635992B02471584893356A0\amdk8.inf
WinRAR archiver-->C:\Programme\WinRAR\uninstall.exe
Wisterer HX 4.2.26-->"C:\Programme\Wisterer HX\unins000.exe"
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
You Don't Know Jack 4 1.00-->C:\PROGRA~1\YOUDON~1\Setup.exe /remove
Zylom Games Player Plugin-->"C:\Programme\Zylom Games\UninstallPlugin.exe" --uninstall
======Security center information======
AV: avast! antivirus 4.8.1368 [VPS 100111-0]
FW: Sygate Personal Firewall Pro
======System event log======
Computer Name: XXX
Event Code: 7036
Message: Dienst "avast! Mail Scanner" befindet sich jetzt im Status "Ausgeführt".
Record Number: 32698
Source Name: Service Control Manager
Time Written: 20091118213815.000000+060
Event Type: Informationen
User:
Computer Name: XXX
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "avast! Mail Scanner" gesendet.
Record Number: 32697
Source Name: Service Control Manager
Time Written: 20091118213814.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
Computer Name: XXX
Event Code: 7035
Message: Der Steuerbefehl "starten" wurde erfolgreich an den Dienst "RAS-Verbindungsverwaltung" gesendet.
Record Number: 32696
Source Name: Service Control Manager
Time Written: 20091118213813.000000+060
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM
Computer Name: XXX
Event Code: 7036
Message: Dienst "Telefonie" befindet sich jetzt im Status "Ausgeführt".
Record Number: 32695
Source Name: Service Control Manager
Time Written: 20091118213813.000000+060
Event Type: Informationen
User:
Computer Name: XXX
Event Code: 7036
Message: Dienst "Kompatibilität für schnelle Benutzerumschaltung" befindet sich jetzt im Status "Ausgeführt".
Record Number: 32694
Source Name: Service Control Manager
Time Written: 20091118213813.000000+060
Event Type: Informationen
User:
=====Application event log=====
Computer Name: XXX
Event Code: 102
Message: wuaueng.dll (3224) SUS20ClientDataStore: Das Datenbankmodul hat eine neue Instanz gestartet (0).
Record Number: 16401
Source Name: ESENT
Time Written: 20091127063831.000000+060
Event Type: Informationen
User:
Computer Name: XXX
Event Code: 100
Message: wuauclt (3224) Das Datenbankmodul 5.01.2600.5512 ist gestartet.
Record Number: 16400
Source Name: ESENT
Time Written: 20091127063831.000000+060
Event Type: Informationen
User:
Computer Name: XXX
Event Code: 101
Message: wuauclt (3136) Das Datenbankmodul wurde beendet.
Record Number: 16399
Source Name: ESENT
Time Written: 20091127063831.000000+060
Event Type: Informationen
User:
Computer Name: XXX
Event Code: 103
Message: wuaueng.dll (3136) SUS20ClientDataStore: Das Datenbankmodul hat die Instanz (0) beendet.
Record Number: 16398
Source Name: ESENT
Time Written: 20091127063831.000000+060
Event Type: Informationen
User:
Computer Name: XXX
Event Code: 102
Message: wuaueng.dll (3136) SUS20ClientDataStore: Das Datenbankmodul hat eine neue Instanz gestartet (0).
Record Number: 16397
Source Name: ESENT
Time Written: 20091127063831.000000+060
Event Type: Informationen
User:
======Environment variables======
"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM;C:\Programme\QuickTime\QTSystem\
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 43 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=2b01
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.6.0_05\lib\ext\QTJava.zip
-----------------EOF-----------------
|
|
11.01.2010, 22:35
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Achso, hast Du die älteren Logs von Malwarebytes und Avast noch? Ich muss wissen, welche Dateien bzw. Schädlinge Du da gelöscht hast.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
12.01.2010, 08:05
| #5 |
| | explorer.exe startet nicht mehr nach Entfernen von Malware Hallo, leider hab ich nicht mehr die ganzen logs, und teilweise auch Sachen manuell gelöscht (ich denke calculator.dll oder exe und noch eins). Hier mal die logs die ich noch habe. Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3195
Windows 5.1.2600 Service Pack 3
18.11.2009 23:08:41
mbam-log-2009-11-18 (23-08-41).txt
Scan-Methode: Quick-Scan
Durchsuchte Objekte: 21711
Laufzeit: 3 minute(s), 57 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{a249bc15-23f2-42ad-f4e4-00aac39c0004} (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a249bc15-23f2-42ad-f4e4-00aac39c0004} (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a249bc15-23f2-42ad-f4e4-00aac39c0004} (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a249bc15-23f2-42ad-f4e4-00aac39c0004} (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter 29.10.2009 18:02:07 XXX1636 Sign of "BV:AutoRun-AA [Wrm]" has been found in "C:\WINDOWS\system32\autorun.i" file.
29.10.2009 18:02:20 XXX1636 Sign of "BV:AutoRun-W" has been found in "C:\WINDOWS\system32\autorun.in" file.
04.01.2010 09:57:14 XXX1672 Sign of "Win32:Bredolab-AP [Trj]" has been found in "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2P2JYN45\reoi[1].exe" file.
04.01.2010 09:58:24 XXX1672 Sign of "Win32:Malware-gen" has been found in "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXE943WR\reoh[1].exe" file.
|
|
12.01.2010, 08:11
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Ist das Problem mit der explorer.exe immer noch? Probier mal bitte CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ --> explorer.exe startet nicht mehr nach Entfernen von Malware |
|
12.01.2010, 23:39
| #7 |
| | explorer.exe startet nicht mehr nach Entfernen von Malware So alles soweit befolgt; hier ist das Logfile. Nach dem Autoneustart, musste ich schonmal nicht explorer.exe manuell starten....teste das morgen früh nochmal, sonst gibts hier noch Knatsch... Aber schonmal vielen Dank für deine super Hilfe. Code:
ATTFilter ComboFix 10-01-12.02 - XXX 12.01.2010 23:25:34.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1982.1428 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\cofi.exe
AV: avast! antivirus 4.8.1368 [VPS 100112-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sygate Personal Firewall Pro *disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\XXX\ntuser.dll
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811
c:\recycler\S-1-5-21-1541881402-7597967648-207846606-8613
c:\recycler\S-1-5-21-4710777970-8816730320-379817942-0635
c:\windows\010112010146101105.rx
c:\windows\010112010146120114.xxe
c:\windows\system32\calc.dll
c:\windows\system32\wbem\Performance\WmiApRpl_new.h
c:\windows\system32\wl.exe
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_APPLE_MOBILE_DEVICE
-------\Legacy_FIOO32
-------\Service_Apple Mobile Device
-------\Service_fioo32
-------\Service_SfX
((((((((((((((((((((((( Dateien erstellt von 2009-12-12 bis 2010-01-12 ))))))))))))))))))))))))))))))
.
2010-01-12 21:53 . 2010-01-12 21:53 -------- d-----w- c:\programme\CCleaner
2010-01-11 20:30 . 2010-01-11 20:30 -------- d-----w- C:\rsit
2010-01-11 20:30 . 2010-01-11 20:30 -------- d-----w- c:\programme\trend micro
2010-01-06 09:46 . 2010-01-06 09:46 -------- d-----w- c:\programme\ICQ6Toolbar
2010-01-06 09:46 . 2010-01-06 09:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2010-01-06 08:39 . 2010-01-06 09:48 -------- d-----w- c:\programme\ICQ6.5
2010-01-05 15:19 . 2010-01-05 15:20 -------- d-----w- c:\windows\system32\NtmsData
2010-01-05 14:37 . 2010-01-05 14:37 388096 ----a-r- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-05 14:36 . 2010-01-05 14:36 -------- d-----w- c:\programme\TrendMicro
2010-01-05 12:49 . 2010-01-05 13:54 152576 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-05 12:49 . 2010-01-05 13:54 79488 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-05 10:55 . 2010-01-05 10:55 -------- d-----w- c:\programme\Winamp Detect
2010-01-04 22:57 . 2010-01-05 06:45 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\HpUpdate
2010-01-04 22:57 . 2010-01-04 22:57 -------- d-----w- c:\windows\Hewlett-Packard
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-11 05:37 . 2008-03-25 17:48 -------- d-----w- c:\programme\Wisterer HX
2010-01-06 12:35 . 2008-03-20 22:31 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\ICQ
2010-01-06 08:40 . 2008-03-20 22:31 -------- d-----w- c:\programme\ICQ6
2010-01-05 14:18 . 2009-12-04 09:22 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Skype
2010-01-05 13:55 . 2008-03-21 08:23 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Winamp
2010-01-05 13:55 . 2008-03-30 12:01 -------- d-----w- c:\programme\Java
2010-01-05 12:10 . 2009-12-04 09:25 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\skypePM
2010-01-05 10:59 . 2008-05-07 19:14 -------- d-----w- c:\programme\Last.fm
2010-01-05 10:56 . 2008-03-21 08:23 -------- d-----w- c:\programme\Winamp
2010-01-04 22:57 . 2008-04-20 12:31 -------- d-----w- c:\programme\Hewlett-Packard
2010-01-04 16:20 . 2008-03-30 12:33 1 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-01-04 16:20 . 2008-03-30 12:32 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2
2009-12-12 21:55 . 2009-05-24 15:02 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\gtk-2.0
2009-12-04 09:25 . 2009-12-04 09:25 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-12-04 09:21 . 2009-12-04 09:21 -------- d-----r- c:\programme\Skype
2009-12-04 09:21 . 2009-12-04 09:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-12-04 09:21 . 2009-12-04 09:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-11-24 23:54 . 2009-10-29 12:22 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2009-10-29 12:22 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:49 . 2009-10-29 12:22 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-10-29 12:22 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-10-29 12:22 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-10-29 12:22 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-11-22 18:15 . 2009-11-22 18:15 -------- d-----w- c:\programme\ElsterFormular
2009-11-22 18:15 . 2008-03-20 20:25 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-18 22:03 . 2009-11-18 22:03 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2009-11-18 22:03 . 2009-11-18 22:03 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-11-18 22:03 . 2009-11-18 22:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-18 21:51 . 2008-03-31 21:11 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Free Download Manager
2009-11-04 21:10 . 2009-11-04 21:10 1961720 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-10-17 11:37 . 2008-03-20 20:16 86327 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WistererHX"="c:\programme\Wisterer HX\WistererHX.exe" [2008-01-05 2646016]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2005-09-27 2635472]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-10 385024]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAMS]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [29.10.2009 13:22 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29.10.2009 13:22 20560]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [06.01.2010 10:46 222968]
S1 fio32;fio32;\??\c:\windows\system32\drivers\fio32.sys --> c:\windows\system32\drivers\fio32.sys [?]
S2 SAMS;Scanning Analist Management System;c:\windows\System32\sams.exe --> c:\windows\System32\sams.exe [?]
S3 DVBLLC;DVB LLC Service;c:\windows\system32\drivers\DVBLLC32.sys [19.04.2008 14:05 69504]
S3 FLASHSYS;FLASHSYS;c:\programme\MSI\Live Update 4\LU4\FlashSys.sys [29.10.2009 18:27 9216]
S3 USBMULCD;USB Multi-Channel Audio Device Interface;c:\windows\system32\drivers\CM106.sys [26.03.2008 19:26 1313792]
.
Inhalt des "geplante Tasks" Ordners
2009-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2010-01-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003Core.job
- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-17 11:04]
2010-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003UA.job
- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-17 11:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\rgycvk7s.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np32asw.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKLM-Run-Cm106Sound - cm106.cpl
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-12 23:32
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(680)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3744)
c:\windows\system32\SSSensor.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Sygate\SPF\smc.exe
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\RunDll32.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-12 23:35:00 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-12 22:34
Vor Suchlauf: 11 Verzeichnis(se), 17.821.696.000 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 17.724.829.696 Bytes frei
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /usepmtimer /NoExecute=OptOut
- - End Of File - - 9FEA278B841AB2BA09E9BF6D7D1170A6
|
|
13.01.2010, 07:25
| #8 |
| | explorer.exe startet nicht mehr nach Entfernen von Malware So, nochmal getestet. Computer starter wieder normal hoch  Kannst du aus dem Log herauslesen, ob der Computer soweit wieder sauber ist? Oder soll ich noch mehr unternehmen um ihn sauber zu kriegen. Ansonsten schonmal ein riesengroßes  Wirklich genial, wie schnell und kompetent du geholfen hast. |
|
13.01.2010, 08:20
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter KILLALL::
File::
c:\windows\system32\drivers\fio32.sys
Driver::
fio32
ICQ Service
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.01.2010, 19:28
| #10 |
| | explorer.exe startet nicht mehr nach Entfernen von Malware So, hier mal das neue Log-file. Wenn du Lust hast, kannst auch ein paar erklärende Worte abgeben, versteh aber vollkommen, wenn du dafür keine Zeit und Muße hast. Code:
ATTFilter ComboFix 10-01-13.01 - XXX 13.01.2010 19:13:16.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1982.1578 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\XXX\Desktop\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100113-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sygate Personal Firewall Pro *disabled* {BE898FE3-CD0B-4014-85A9-03DB9923DDB6}
FILE ::
"c:\windows\system32\drivers\fio32.sys"
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\programme\ICQ6.5\ICQLRun.exe
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_FIO32
-------\Legacy_ICQ_SERVICE
-------\Service_fio32
-------\Service_ICQ Service
((((((((((((((((((((((( Dateien erstellt von 2009-12-13 bis 2010-01-13 ))))))))))))))))))))))))))))))
.
2010-01-12 21:53 . 2010-01-12 21:53 -------- d-----w- c:\programme\CCleaner
2010-01-11 20:30 . 2010-01-11 20:30 -------- d-----w- C:\rsit
2010-01-11 20:30 . 2010-01-11 20:30 -------- d-----w- c:\programme\trend micro
2010-01-06 09:46 . 2010-01-06 09:46 -------- d-----w- c:\programme\ICQ6Toolbar
2010-01-06 09:46 . 2010-01-06 09:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2010-01-06 08:39 . 2010-01-13 18:16 -------- d-----w- c:\programme\ICQ6.5
2010-01-05 15:19 . 2010-01-05 15:20 -------- d-----w- c:\windows\system32\NtmsData
2010-01-05 14:37 . 2010-01-05 14:37 388096 ----a-r- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-01-05 14:36 . 2010-01-05 14:36 -------- d-----w- c:\programme\TrendMicro
2010-01-05 12:49 . 2010-01-05 13:54 152576 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-05 12:49 . 2010-01-05 13:54 79488 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-05 10:55 . 2010-01-05 10:55 -------- d-----w- c:\programme\Winamp Detect
2010-01-04 22:57 . 2010-01-05 06:45 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\HpUpdate
2010-01-04 22:57 . 2010-01-04 22:57 -------- d-----w- c:\windows\Hewlett-Packard
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-11 05:37 . 2008-03-25 17:48 -------- d-----w- c:\programme\Wisterer HX
2010-01-06 12:35 . 2008-03-20 22:31 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\ICQ
2010-01-06 08:40 . 2008-03-20 22:31 -------- d-----w- c:\programme\ICQ6
2010-01-05 14:18 . 2009-12-04 09:22 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Skype
2010-01-05 13:55 . 2008-03-21 08:23 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Winamp
2010-01-05 13:55 . 2008-03-30 12:01 -------- d-----w- c:\programme\Java
2010-01-05 12:10 . 2009-12-04 09:25 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\skypePM
2010-01-05 10:59 . 2008-05-07 19:14 -------- d-----w- c:\programme\Last.fm
2010-01-05 10:56 . 2008-03-21 08:23 -------- d-----w- c:\programme\Winamp
2010-01-04 22:57 . 2008-04-20 12:31 -------- d-----w- c:\programme\Hewlett-Packard
2010-01-04 16:20 . 2008-03-30 12:33 1 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2010-01-04 16:20 . 2008-03-30 12:32 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\OpenOffice.org2
2009-12-12 21:55 . 2009-05-24 15:02 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\gtk-2.0
2009-12-04 09:25 . 2009-12-04 09:25 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-12-04 09:21 . 2009-12-04 09:21 -------- d-----r- c:\programme\Skype
2009-12-04 09:21 . 2009-12-04 09:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Skype
2009-12-04 09:21 . 2009-12-04 09:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-11-24 23:54 . 2009-10-29 12:22 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2009-10-29 12:22 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:49 . 2009-10-29 12:22 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2009-10-29 12:22 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2009-10-29 12:22 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2009-10-29 12:22 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-11-22 18:15 . 2009-11-22 18:15 -------- d-----w- c:\programme\ElsterFormular
2009-11-22 18:15 . 2008-03-20 20:25 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-18 22:03 . 2009-11-18 22:03 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Malwarebytes
2009-11-18 22:03 . 2009-11-18 22:03 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-11-18 22:03 . 2009-11-18 22:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-18 21:51 . 2008-03-31 21:11 -------- d-----w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Free Download Manager
2009-11-04 21:10 . 2009-11-04 21:10 1961720 ----a-w- c:\dokumente und einstellungen\XXX\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
2009-10-17 11:37 . 2008-03-20 20:16 86327 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
.
((((((((((((((((((((((((((((( SnapShot@2010-01-12_22.31.47 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-13 18:17 . 2010-01-13 18:17 16384 c:\windows\Temp\Perflib_Perfdata_7ac.dat
+ 2010-01-13 18:17 . 2010-01-13 18:17 16384 c:\windows\Temp\Perflib_Perfdata_598.dat
+ 2010-01-13 17:58 . 2010-01-13 17:58 16384 c:\windows\Temp\Perflib_Perfdata_570.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WistererHX"="c:\programme\Wisterer HX\WistererHX.exe" [2008-01-05 2646016]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2005-09-27 2635472]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-01-10 385024]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SAMS]
@="Service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [29.10.2009 13:22 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [29.10.2009 13:22 20560]
S2 SAMS;Scanning Analist Management System;c:\windows\System32\sams.exe --> c:\windows\System32\sams.exe [?]
S3 DVBLLC;DVB LLC Service;c:\windows\system32\drivers\DVBLLC32.sys [19.04.2008 14:05 69504]
S3 FLASHSYS;FLASHSYS;c:\programme\MSI\Live Update 4\LU4\FlashSys.sys [29.10.2009 18:27 9216]
S3 USBMULCD;USB Multi-Channel Audio Device Interface;c:\windows\system32\drivers\CM106.sys [26.03.2008 19:26 1313792]
.
Inhalt des "geplante Tasks" Ordners
2009-11-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2010-01-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003Core.job
- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-17 11:04]
2010-01-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1993962763-117609710-839522115-1003UA.job
- c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2009-10-17 11:04]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
IE: Alles mit FDM herunterladen - file://c:\programme\Free Download Manager\dlall.htm
IE: Auswahl mit FDM herunterladen - file://c:\programme\Free Download Manager\dlselected.htm
IE: Datei mit FDM herunterladen - file://c:\programme\Free Download Manager\dllink.htm
IE: Videos mit FDM herunterladen - file://c:\programme\Free Download Manager\dlfvideo.htm
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
FF - ProfilePath - c:\dokumente und einstellungen\XXX\Anwendungsdaten\Mozilla\Firefox\Profiles\rgycvk7s.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\programme\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np32asw.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-13 19:17
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(680)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2160)
c:\windows\system32\ieframe.dll
c:\windows\system32\SSSensor.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\programme\Alwil Software\Avast4\aswUpdSv.exe
c:\programme\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\PnkBstrA.exe
c:\programme\Sygate\SPF\smc.exe
c:\windows\SOUNDMAN.EXE
c:\programme\Alwil Software\Avast4\ashMaiSv.exe
c:\programme\Alwil Software\Avast4\ashWebSv.exe
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-13 19:20:43 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-13 18:20
ComboFix2.txt 2010-01-12 22:35
Vor Suchlauf: 12 Verzeichnis(se), 17.667.158.016 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 17.627.594.752 Bytes frei
- - End Of File - - 1A62B814B3183703FAF48B74D6FE4E9A
|
|
13.01.2010, 20:14
| #11 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Was genau möchtest Du denn wissen?  Wie verhält sich Dein PC nun? Machst Du noch einen Kontrollscan mit Malwarebytes und aktuellen Signaturen?
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.01.2010, 21:47
| #12 |
| | explorer.exe startet nicht mehr nach Entfernen von Malware War nur neugierig, welcher Wurm es ist/war. Und woran erkannt...hätte jetzt den icq-service als ungefährlich eingestuft. Anbei das Log-file von Anti-Malwarebytes Ich hoffe, das die Malware in der restore-information keinen Schaden mehr angerichtet hat. Das einzig auffälige am System ist, das es sehr lange zum manuellen Herunterfahren braucht. Vom klicken "ausschalten" bis zum Auswahlbildschirm neustart-herunterfahren-*** vergehen gefühlt eine Minute. Und bis er dann ganz heruntergefahren ist nochmal ziemlich lange. Beim automatischen Neustart während cofi und cofi skript ging es viel schneller. Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3510
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
13.01.2010 21:43:22
mbam-log-2010-01-13 (21-43-22).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 217603
Laufzeit: 53 minute(s), 18 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\System Volume Information\_restore{E2AD94E5-A29D-4E29-A2C8-786BF5925402}\RP1\A0000127.sys (Malware.Trace) -> Quarantined and deleted successfully.
|
|
13.01.2010, 21:50
| #13 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Meist bekommst das über eine Google-Suche des Dateinamens heraus. Dieser FIO32 scheint mir KoobFace gewesen zu sein. Und der ICQ-Service ist unnötig, deswegen hab ich den mal raus genommen  Oder hast Du nun Probleme mit ICQ? Auf dem langsamen Shutdown hab ich noch keinen Reim, müsste ich selber mal nach Googeln, ich könnte mir schon was vorstellen, ist aber unwahrscheinlich: die Auslagerungsdatei wird beim herunterfahren gelöscht  das verzögert den Shutdown extrem 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.01.2010, 23:07
| #14 |
| | explorer.exe startet nicht mehr nach Entfernen von Malware Das Malwarebytes Log ist jetzt sauber, werd das mal mit weiter beobachten und mit dem nächsten Update nochmal drüber laufen lassen. Oder hast du noch weitere Vorschläge zur Systemprüfung? Über Icq wird sich die Freundin dann schon noch beschwerden  , falls irgendwas nicht mehr so funktioniert.Da war ich mit der Google-Suche ja schon aufm richtigem Weg nur am vernünftigen Entfernen hats gehapert. Kann man das mit der Auslagerungsdatei irgendwie testen? Oder erstmal so hinnehmen? Bin echt begeistert, ist echt eine klasse Hilfe und super erklärt! |
|
14.01.2010, 08:40
| #15 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | explorer.exe startet nicht mehr nach Entfernen von Malware Geh in die Registrierung (regedit.exe), in diesem Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management muss ClearPageFileAtShutDown den Wert 0 haben Dann wird die Pagefile nicht gelöscht, bei 1 wird sie gelöscht bei jedem Shutdown.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu explorer.exe startet nicht mehr nach Entfernen von Malware |
| alles gelöscht, anti malware, antivirus, avast, avast!, bho, browser, browseui preloader, entfernen, exe.exe, explorer.exe startet nicht, firewall, free download, google, helper, hijack, hijackthis, internet, internet explorer, logfile, malwar, malware, plug-in, problem, programme, registry, rundll, software, suche, system, virus, windows, windows xp |
Linear-Darstellung
